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FOREWORD 


计算 机 固件 BIOS 的 发 展 历史 并 不 长 , 它 诞生 于 1981 年 出 产 的 第 一 台 个 人 计算 
机 中 。 尽 管 固件 BIOS 产品 一 直 是 计算 机 中 最 底层 .最 核心 的 关键 性 部 件 之 一 ,但 却 
由 于 其 位 处 后 台 ,默默无闻 ,而 少 人 关注 。 而 在 国内 ,BIOS 产品 则 成 为 我 国 计 算 机 产 
业 链 中 长 期 缺失 的 一 环 , 只 能 依赖 我 国 台湾 地 区 和 国外 的 产品 。 

1995 年 初始 ,笔者 有 幸 参与 “FTPC-8086 柔性 实验 教学 系统 ”的 开发 ,负责 下 位 
机 系统 软件 的 编写 工作 ,主要 就 是 从 开机 上 电 的 第 一 条 指令 开始 编写 ,完成 各 硬件 部 
件 测试 例 程 单 步 中 断 (int 1) 例 程 、 断 点 中 断 (int 3) 例 程 ,以 及 其 他 常用 的 BIOS 中 断 
和 DOS 中 断 例 程 , 并 将 例 程 执行 结果 通过 串口 通信 返回 给 上 位 机 上 的 集成 调试 运行 
环境 ,以 使 这 些 例 程 能 被 上 位 机 运行 的 程序 调用 执行 。 其 中 下 位 机 上 从 开机 上 电 的 
第 一 条 指令 开始 ,每 一 个 例 程 ,都 需要 自己 独立 编写 完成 ,工作 的 实质 就 是 要 写 一 个 
Mini BIOS。 因 此 不 得 不 查阅 学 习 了 许多 BIOS 底层 和 DOS 底层 相关 技术 ,并 精 熟 了 
汇编 语言 程序 设计 。 自 此 体会 到 底层 固件 开发 的 挑战 和 乐趣 ,也 经 常 愿意 在 专业 课 
教学 中 向 学 生 炫 焰 这 一 段 开 发 历程 。 这 项 工作 ,为 笔者 后 来 步 入 计算 机 固件 安全 研 
究 领 域 黄 定 了 技术 基础 。 

大 概 在 2002 年 3 月 的 时 候 , 刘 军 找到 我 , 跟 我 讲 了 美国 BIOS 厂商 Phoenix 公司 
的 Phoenix. net 产品 的 事情 ,希望 我 能 够 对 它 研 究 一 下 。Phoenix. net 是 Phoenix 公 
司 的 一 个 BIOS 产品 项 目 , 计 划 在 计算 机 底层 BIOS 固件 中 嵌入 一 个 “ 音 序 器 ,指导 
并 帮助 计算 机 用 户 完成 在 操作 系统 安装 后 烦琐 的 应 用 软件 下 载 和 安装 工作 。 笔 者 因 
此 采用 了 道 向 工程 的 方法 ,对 Phoenix. net 固件 产品 进行 了 研究 剖析 并 提交 了 技术 分 


析 报 告 。 这 项 工作 ,向 笔者 揭 开 了 计算 机 固件 层次 安全 的 神秘 面纱 , 自 此 发 现 计算 机 
固件 安全 的 别 样 洞天 ,成 为 笔者 步 人 计算 机 固件 安全 研究 领域 的 契机 。 后 来 一 系列 
BIOS 安全 增强 .BIOS 安全 代理 ,BIOS 木马 研究 工作 ,都 自 此 展开 。 非 常 怀念 这 一 段 
美好 神奇 的 研究 开发 之 旅 。 

2005 年 ,笔者 有 幸 拜 入 到 我 国 著名 网 络 安全 专家 许 榨 生 先 生 门下 ,成 为 先生 的 
博士 学 生 。 鉴 于 国内 对 计算 机 固件 安全 研究 关注 甚 少 , 先 生 建议 我 对 计算 机 固件 安 
全 开展 系统 性 的 研究 工作 。 于 是 深入 挖掘 固件 安全 漏洞 ,研究 其 安全 检测 原理 和 方 
法 。 时 值 信息 产业 部 ( 现 工业 与 信息 化 部 ) 在 幕后 者 多 年 的 努力 推动 下 ,终于 启动 并 
支持 “新 一 代 安 全 BIOS 的 研制 和 产业 化 ”“ 高 安全 与 可 管理 BIOS” 等 研究 项 目 工作 ， 
笔者 也 参与 其 中 ,开展 安全 BIOS 和 可 信和 固件 的 研究 开发 工作 。 

在 以 上 历程 中 ,每 每 感叹 国内 计算 机 固件 BIOS 领域 资料 的 缺乏 。 时 至 今 
日 ,也 只 有 台湾 地 区 旗 标 出 版 社 出 版 的 陈 文 钦 著 《BIOS Inside BIOS 研发 技术 剂 
析 》 一 书 , 可 算 国内 唯一 能 找到 的 中 文 BIOS 技术 宝典 ,而 涉及 计算 机 固件 安全 的 
公开 出 版 物 , 则 尚未 得 见 。 有 感 如 此 , 深 感 补 此 遗 缺 , 乃 我 辈 之 责任 。 遂 成 书 , 以 
给 读者 。 

本 书 共 9 章 , 其 内 容 可 分 为 三 部 分 。 第 一 部 分 讲述 计算 机 固件 技术 发 展 历 
程 、 安 全 研究 现状 、 技 术 基 础 ,包括 第 1 章 和 第 2 章 ; 第 二 部 分 阐述 传统 固件 
BIOS 的 安全 技术 .安全 漏洞 及 其 安全 检测 方法 和 系统 ,包括 第 3 一 5 章 ; 第 三 部 
分 从 可 信 理 论 出 发 ,研究 基于 新 一 代 EFI 固 件 的 可 信 固 件 安全 策略 模型 .可 信 度 
量 基础 和 方法 以 及 可 信 固 件 的 开发 实现 ,包括 第 6 一 8 章 ; 最 后 是 对 本 书 研究 内 
容 的 总 结 和 展望 。 

本 书 成 书 及 出 版 ,得 到 众多 热心 人 的 支持 和 帮助 。 在 本 书 最 后 部 分 的 致谢 中 , 笔 
者 要 对 他 们 致 以 衷心 的 感激 之 情 。 特 别 地 要 感谢 清华 出 版 社 的 编辑 梁 颖 老师 对 本 书 
出 版 的 支持 和 跟踪 追 进 。 


周 振 柳 
2012 年 7 月 于 沈阳 
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计算 机 传统 固件 BIOS 产品 ,由 于 其 深 处 计算 机 运行 后 台 , 用 户 可 见 的 运行 周期 
少 至 只 有 几 十 秒 , 因 此 不 为 计算 机 用 户 所 熟知 。 而 传统 固件 BIOS 技术 ,IBM 设计 之 
初 是 开放 的 状态 ,但 由 于 其 底层 地 位 和 纽带 作用 ,后 来 的 发 展 陷入 到 封闭 状态 ,只 为 
少数 几 个 厂商 所 掌握 ,外 人 知之 其 少 。 基 于 这 些 原因 ,计算 机 固件 安全 这 个 领域 ,在 
国内 很 长 一 段 时 期 内 被 忽视 ,无 人 瞩目 。 

本 章 介 绍 计算 机 固件 产品 的 概念 、 功 能 和 作用 ,简单 叙述 从 传统 BIOS 到 EFI 固 
件 的 发 展 历程 ,从 中 引出 固件 BIOS 安全 研究 的 背景 ,历史 与 现状 。 以 期 引起 对 计算 
机 固件 安全 研究 的 兴趣 和 重视 。 


1.1 固件 在 计算 机 中 的 地 位 和 作用 


计算 机 固件 是 计算 机 系统 中 不 可 缺少 的 底层 基础 系统 。 这 些 固 件 往 往 是 以 软件 
的 形式 固化 存储 在 硬件 芯片 中 。 计 算 机 主板 上 有 最 重要 、 最 核心 的 计算 机 固件 ,通常 
称 为 BIOS(Basic Input/Output System, 基 本 输入 输出 系统 ) ,计算 机 加 电 时 ,中 央 处 
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理 器 (Central Processing Unit,CPU) 取 得 并 执行 的 第 一 条 指令 ,就 存储 在 BIOS 固件 
中 。 因 此 ,BIOS 固件 首先 取得 计算 机 运行 控制 权 , 其 后 的 硬件 系统 初始 化 和 检测 都 
由 BIOS 固件 完成 ,最 后 才 加 载 计算 机 操作 系统 ,并 把 系统 控制 权 移交 给 操作 系统 。 
但 由 于 BIOS 固件 处 在 软件 的 最 底层 ,很 少 直接 同 用 户 交 互 ,因此 往往 被 大 多 数 人 


1.1.1 固件 和 BIOS 的 概念 


固件 (Firmware) 是 一 种 底层 软件 或 指令 序列 ,早期 常常 存储 于 计算 机 或 外 部 设 
备 的 可 编程 只 读 存 储 器 (Programable Read-Only Memory,PROM) 中 。 固 件 常用 于 
对 硬件 设备 进行 配置 ,使 得 硬件 设备 能 够 完成 指定 的 功能 ,或 者 为 操作 系统 提供 硬件 
操作 接口 。 一 些 固件 也 可 能 成 为 操作 系统 内 核 的 一 部 分 ,为 操作 系统 的 其 他 部 分 提 
供 基本 服务 ,并 运行 于 特权 模式 下 ,这 种 情况 多 见于 嵌入 式 系统 和 设备 中 。 在 计算 机 
系统 中 ,BIOS 就 是 一 种 核心 固件 。 计 算 机 系统 中 其 他 的 一 些 外 围 设 备 ( 如 显示 卡 、 网 
卡 等 ) 上 也 存在 着 固件 ,用 于 初始 化 、 驱 动 这 些 设备 ,为 操作 系统 提供 操作 接口 。 

1981 年 ,IBM 在 设计 第 一 部 个 人 计算 机 一 一 TBM PC 时 ,工程 师 把 一 些 开 机 时 的 
硬件 初始 化 /检测 代码 ,从 软盘 或 硬盘 装载 操作 系统 、 完 成 开机 程序 的 前 导 代 码 , 以 及 
一 些 最 基本 的 外 围 设备 处 理 的 代码 (如 屏幕 显示 、 磁 盘 驱 动 等 ), 压 缩 存 人 一 颗 大 约 
32KB 大 小 的 PROM™ ,这 些 代码 组 成 了 BIOS。 

当 计 算 机 开机 的 一 瞬间 ,硬件 特性 就 是 设计 成 CPU 从 主板 上 BIOS 芯片 内 取得 
指令 码 ( 对 于 16 位 计算 机 这 个 地 址 是 OFFFFo, 对 于 32 位 计算 机 这 个 地 址 是 
OFFFFFFFO0) ,BIOS 内 部 的 指令 取得 系统 控制 权 , 然 后 再 跳 转 到 BIOS 固件 其 他 位 置 
的 指令 去 执行 。 经 过 CPU 的 检测 设 定 配置 内 存 、 初 始 化 南北 桥 芯片 组 ,最 后 驱动 磁 
盘 把 操作 系统 载 信 内存, 将 系统 控制 权 转 移 给 操作 系统 引导 代码 (OS Loader) , BIOS 
的 开机 引导 工作 就 告 一 段落 , 改 为 从 事 幕后 对 操作 系统 的 支持 、 协 调 工 作 , 帮 助 操作 
系统 或 应 用 程序 来 处 理 外 围 设备 的 执行 动作 。 

事实 上 除了 主板 上 的 BIOS 外 ,另外 如 显卡 .SCSI 卡 、 网 卡 \ 人 硬盘 控制 器 等 也 都 有 
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各 自 的 BIOS 芯片 。 设 计 在 主板 上 、 负 责 整个 主板 运行 的 BIOS, 一 般 称 为 系统 BIOS 
(System BIOS) 或 主板 BIOSCMainboard BIOS) ,如 果 没 有 特别 声明 ,BIOS 所 指 就 是 
主板 上 的 BIOS; 而 显卡 上 的 BIOS 一 般 称 为 Video BIOS,SCSI 控制 卡 上 的 BIOS 则 
以 SCSI BIOS 称呼 。 这 种 扩展 卡 或 控制 器 上 的 BIOS 后 来 也 统称 为 OPROMCOption 
ROM). 

这 种 固件 早期 都 存储 在 PROM 芯片 中 ,只 能 用 特定 的 编程 器 对 其 进行 读 写 操 
作 , 不 能 在 主板 等 设备 中 直接 对 其 进行 读 写 操作 ; 其 容量 也 逐渐 从 8SKB、16KB、 
32KB、64KB 增加 到 128KB、256KB 和 512KB 不 等 。 从 大 约 1996 年 以 后 ,伴随 flash 
芯片 技术 的 发 展 ,以 及 对 BIOS 固件 在 线 更 新 的 要 求 ,以 及 计算 机 系统 使 用 后 期 要 求 
能 够 从 BIOS 固件 更 新 CPU 微 代码 (Micro Code) ,从 而 实现 为 CPU 打 补 丁 功能 的 出 
现 , 计 算 机 系统 中 的 固件 存储 逐渐 从 ROM 芯片 转换 成 flash 芯片 。 其 特征 是 : Dis 
片 容量 继续 增 大 ,以 适应 越 来 越 多 的 应 用 加 入 到 固件 中 的 要 求 ,@ 人 允许 在 操作 系统 运 
行 过 程 中 ,通过 指定 技术 直接 对 固件 芯片 中 的 内 容 进行 更 新 写 入 。 在 为 用 户 和 系统 
维护 带 来 更 多 的 方便 功能 的 同时 ,也 就 此 引入 了 更 多 的 安全 风险 。 


1.1.2 固件 功能 及 地 位 


计算 机 系统 层次 架构 由 硬件 (Hardware)、 固 件 (Firmware)、 软 件 (Software) 构 
成 ,传统 上 计算 机 固件 的 核心 就 是 BIOS, 计 算 机 软件 的 核心 是 操作 系统 ,如 图 1.1 所 
示 。 在 这 种 层次 架构 中 ,BIOS 介 于 硬件 和 操作 系统 之 间 ,为 操作 系统 提供 最 直接 、 最 
底层 的 硬件 控制 ,为 操作 系统 的 引导 载 和 信和 正常 运行 提供 良好 支持 。 这 种 架构 的 好 
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图 1.1 计算 机 系统 层次 架构 
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处 之 一 ,是 BIOS 能 够 为 操作 系统 提供 一 定 程 度 的 硬件 抽象 层 ,使 操作 系统 可 以 不 涉 
及 具体 的 硬件 操作 ,具有 更 好 的 平台 无 关 性 。 

BIOS 是 计算 机 的 核心 部 件 之 一 ,计算 机 开机 以 后 执行 的 第 一 条 指令 就 由 BIOS 
发 出 。BIOS 担负 着 系统 最 初 的 引导 和 启动 任务 ,为 操作 系统 对 计算 机 系统 硬件 设备 
进行 管理 提供 基础 服务 。 没 有 BIOS, 计 算 机 系统 的 所 有 硬件 就 无 法 工作 。BIOS 的 
损坏 直接 导致 计算 机 系统 可 用 性 遭 到 破坏 ,只 能 通过 芯片 级 别 的 硬件 维修 才能 够 
恢复 。 

BIOS 的 主要 功能 可 以 概括 为 下 面 几 点 口 ? 习 ， 

(1) 开机 自 检 (Power On Self Test. POST) ”计算 机 开机 时 系统 将 控制 权 交 给 
BIOS. BIOS 针对 CPU 各 项 寄存 器 、 标 志 位 等 先 检查 CPU 是 否 工作 正常 , 接 下 来 会 
检查 8254 定时 器 .8259A 可 编程 中 断 控制 器 、8237DMA 控制 器 等 的 状态 ,测试 其 是 
和 否 工作 正常 。 这 些 自 检 还 包括 640KB 的 基本 内 存 . 串 并 口 、 键 盘 . 显 卡 等 。 一 旦 在 白 
检 过 程 中 发 现 问题 ,BIOS 将 给 出 提示 信息 或 鸣 笛 警告 。 

(2) 系统 初始 化 ”针对 CPU Cache、DRAM、 南 北桥 芯片 组 .显卡 .PCI 设备 控制 
器 IDE 设备 控制 器 、 网 卡 等 的 寄存 器 作 初 始 化 操作 ,填充 相应 寄存 器 的 值 , 设 定 成 可 
支持 的 默认 工作 模式 ,并 检测 是 否 能 够 正常 工作 。 查 找 并 运行 外 围 设备 上 存在 的 
Option ROM 使 其 对 外 围 设备 进行 驱动 。 

(3) 提供 常 驻 内 存 的 运行 时 服务 (Runtime Services) ”这 些 服务 程序 常 驻 在 某 一 
段 系统 内 存 中 ,操作 系统 和 应 用 程序 能 够 通过 中 断 方式 调用 这 些 服务 代码 ,典型 的 如 
Int 10h, Int 3h,Int 15h 等 。 这 些 常 驻 内 存 的 运行 时 服务 使 得 系统 控制 权 由 BIOS 转 
移 给 操作 系统 后 ,BIOS 代码 仍然 可 以 在 适当 的 时 机 被 执行 。 

(4) 系统 设置 BIOS 提供 文本 或 图 形 界面 的 设置 程序 (通常 称 为 BIOS Setup) ,» 
供用 户 在 进入 操作 系统 前 对 系统 的 一 些 参 数值 进行 设置 ,如 BIOS 密码 ,光盘 /硬盘 / 
软盘 引导 顺序 、 系统 时 间 等 。 这 些 参 数 设置 记载 在 非 易 失 性 存储 体 (Non-Volatile 
RAM) 中 ,如 CMOS(Complementary Metal Oxide Semiconductor, 互 补 金 属 氧 化 物 半 
导体 ) 芯片 或 flash 芯片 的 扩展 系统 配置 数据 区 (Extended System Configuration 
Data,ESCD) 。 
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(5) 引导 操作 系统 ”BIOS 在 执行 的 最 后 阶段 ,会 按照 设置 中 保存 的 启动 顺序 搜 
索 软 硬盘 驱动 器 及 CD-ROM、 网 络 服务 器 等 ,查找 到 有 效 的 启动 记录 后 , 读 入 操作 系 
统 引 导 代 码 , 然 后 将 系统 控制 权 交 给 引导 代码 ,并 由 引导 代码 来 完成 操作 系统 的 装载 
启动 。 


1.2 相关 领域 国内 外 研究 现状 和 趋势 


在 计算 机 系统 中 ,固件 处 于 一 个 很 不 显眼 的 位 置 ,并且 较 少 同 用户 直 接 交 互 。 但 
固件 却 是 计算 机 系统 中 不 可 或 缺 的 底层 软件 系统 ,如 果 固 件 系统 的 安全 得 不 到 保障 ， 
则 其 上 层 操作 系统 的 安全 以 及 应 用 软件 层 的 安全 保障 措施 都 可 能 失效 。 伴 随 固 件 和 
安全 技术 的 发 展 ,固件 在 信息 安全 中 的 重要 性 逐渐 呈现 出 来 中 。 


1.2.1 计算 机 固件 产品 研发 现状 和 趋势 


从 1981 年 第 一 个 BIOS 产品 出 现 以 来 ,BIOS 技术 和 产品 的 发 展 同 IT 行业 其 他 
领域 发 展 相 比 较 , 呈 现 一 个 明显 的 滞后 状态 。 在 计算 机 中 央 处 理 器 .外 围 部 件 和 操作 
系统 从 8 位 到 16 12.32 位 .64 位 的 快速 发 展 过 程 中 ,BIOS 技术 则 从 最 初 的 8 位 发 展 
到 16 位 后 一 直 停 滞 不 前 。 这 里 有 两 个 重要 的 原因 : 一 是 BIOS 技术 处 于 底层 ,只 需 
要 完成 对 平台 硬件 初始 化 ,引导 操作 系统 即 可 ,很 少 直接 同 用 户 交 互 ,因此 推动 其 发 
展 的 动力 不 足 ; 二 是 BIOS 技术 和 市 场 的 垄断 ,使 得 BIOS 厂商 为 保护 自己 的 既得 利 
益 ,不 愿意 去 推动 BIOS 新 技术 和 新 产品 的 发 展 。 

1998 年 ,Intel 公司 开始 封闭 开发 一 种 专用 于 其 服务 器 的 64 位 BIOS 产品 。2003 
年 ,Intel 在 将 该 新 一 代 BIOS 产品 成 功 地 应 用 于 Intel 64 位 服务 器 的 基础 上 ,发 布 了 
32 位 和 64 位 新 一 代 BIOS 产品 的 新 规范 一 一 扩展 固件 接口 (Extensible Firmware 
Interface, EFD™ ,并 联合 业界 Microsoft, IBM, Hp, AMI, Dell, Phoenix, AMD 等 厂商 
推动 该 规范 成 为 下 一 代 BIOS 的 行业 规范 一 一 Unified EFICUEFD'*7 ,. 38 3 Bf fei JL 
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年 的 推动 ,目前 UEFI 已 经 成 为 新 一 代 BIOS 的 行业 标准 ,并 且 到 2007 年 ,Intel 已 经 
将 其 生产 的 所 有 主板 、PC 和 服务 器 上 的 BIOS 换 成 符合 UEFI 标准 的 新 一 代 BIOS 
产品 。BIOS 厂商 Insyde 和 AMI 也 已 经 推出 新 的 符合 UEFI 规 范 的 BIOS 产品 。 

从 BIOS 产品 市 场 来 看 ,公用 BIOS 产品 一 直 由 我 国 台湾 地 区 和 美国 公司 所 垄 
Wr. 1998 年 之 前 ,全 球 公用 BIOS 市 场 由 美国 Phoenix、AMI 和 我 国 台湾 地 区 Award 
三 家 垄断 ,1998 年 之 后 则 是 美国 Phoenix, AMI 和 我 国 台湾 地 区 Insyde = 2 7E Wi 
(Award 公司 被 Phoenix 公司 所 收购 ,以 弥补 其 在 PC 固件 产品 中 市 场 占有 不 足 的 局 
面 )。 欧 洲 企 业 共同 制定 的 Open Firmware 规范 由 于 缺乏 BIOS 厂商 和 芯片 组 厂商 
的 技术 支持 ,也 只 能 在 较 小 范围 的 专用 服务 器 上 形成 可 用 产品 。 而 一 些 开 源 BIOS 项 
目 如 LinuxBIOS*? , TinyBIOS 也 由 于 同样 的 原因 只 能 用 于 少数 定制 的 硬件 平台 
操作 系统 。 由 于 牵扯 到 专利 权 与 厂商 之 间 的 竞争 因素 ,BIOS 产品 的 兼容 性 与 合法 性 
一 直 是 试图 进入 这 一 领域 的 企业 要 面 对 的 严肃 问题 。 另 外 ,芯片 组 技术 和 资料 的 垄 
断 ,也 是 形成 BIOS 技术 和 产品 垄断 的 一 个 重要 因素 。 

我 国信 息 技 术 产 业 在 BIOS 领域 长 期 以 来 处 于 空白 局 面 ,国内 PC 和 服务 器 
BIOS 完全 依赖 上 述 三 家 BIOS 厂商 提供 产品 和 服务 。 这 不 仅 影 响 我 国 建立 完整 的 信 
息 产 业 链 ,对 国家 的 信息 安全 来 讲 也 是 一 个 不 可 忽视 的 隐患 。 借 助 新 一 代 BIOS 发 展 
的 契机 ,2005 年 我 国信 息 产 业 部 通过 电子 产业 发 展 基金 支持 ,启动 “新 一 代 安 全 BIOS 
的 研制 和 产业 化 ”、“ 高 安全 与 可 管理 BIOS" 等 项 目 , 推 动 自主 研发 适合 我 国 国情 的 
BIOS 产品 的 研究 工作 。 其 中 获得 Intel 公司 技术 合作 支持 的 包括 中 国电 子 科技 集团 
信息 化 工程 总 体 研 究 中 心 和 南京 百 元 软件 有 限 公司 (BYOSOFT)。 


1.2.2 BIOS 安全 研究 历史 与 现状 


国内 外 对 安全 操作 系统 30 多 年 的 持续 研究 ,在 理论 方法 .技术 和 产品 上 都 取得 
T BER jg S Done ,而 对 计算 机 BIOS 系统 的 安全 研究 20 多 年 来 则 几乎 被 
忽略 。William A. Arbaugh 等 在 1997 年 提出 一 种 计算 机 安全 引导 架构 AEGIS” , 
AEGIS 基于 IBM PC 传统 BIOS, 采 用 认证 的 方法 保障 BIOS 固件 代码 的 完整 性 , 增 
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强 BIOS 引导 过 程 中 BIOS 代码 的 安全 保护 。 但 AEGIS 缺乏 硬件 保护 措施 ,也 没有 
考虑 固件 层 对 系统 软件 层 的 延伸 保护 。1998 年 , Dexter Kozen 在 基于 语言 安全 研 
究 5922 5 的 基础 上 提出 一 种 简化 高 效 的 语言 证 明 方 法 ECC ,使 用 编译 技术 在 
代码 执行 前 检查 代码 控制 流 . 内 存 访问 以 及 堆栈 操作 的 安全 逻辑 ,并 针对 Open 
Firmware 语言 和 指令 集 进行 了 优化 和 实现 。2002 年 , Frank Adelstein, Matt 
Stillerman 和 Dexter Kozen 演示 了 在 Open Firmware 中 如 何 利 用 ECC 方法 进行 固 
件 的 恶意 代码 检测 9。2003 年 ,Matt Stillerman 和 Dexter Kozen 开发 了 基于 ECC 
的 安全 Open Firmware 的 原型 系统 "中, 由 于 语言 证 明 方法 的 复杂 性 ,这 种 方法 并 不 
成 熟 , 离 实际 应 用 尚 有 较 大 差距 。 

而 从 1998 年 开始 ,针对 BIOS 系统 的 公开 性 的 安全 事件 和 威胁 时 有 发 生 。1998 
年 7 月 开始 爆发 的 CIH 病毒 就 实施 了 对 计算 机 BIOS 的 攻击 ,造成 全 球 大 量 PC 不 能 
使 用 。1999 年 和 2000 年 ,美国 BIOS 厂商 Phoenix 公司 的 PhoenixNet 产品 在 BIOS 
中 嵌入 的 ILS 模块 具有 远程 安装 .控制 ` 回 传 . 定 位 等 功能 ,涉嫌 控制 用 户 计算 机 和 暴 
圳 用户 隐私 ,人 遭 到 广泛 的 抵制 和 批评 四。2006 年 全 球 Black Hat 会 议 上 ,英国 Next- 
Generation 安全 软件 公司 的 首席 安全 顾问 John Heasman 阐述 了 一 种 新 的 rootkit 技 
AUS ,在 计算 机 主板 BIOS 闪存 中 隐藏 rootkit 恶意 代码 并 使 之 在 操作 系统 运行 过 程 
中 生效 。2007 年 的 Black Hat 会 议 上 ,John Heasman 继续 其 对 固件 rootkit 技术 的 研 
究 , 这 一 次 他 将 rootkit 技术 应 用 到 了 主板 PCI 板 卡 的 OPROM 闪存 中 。 

美国 2006 年 的 (计算 机 安全 与 信息 保障 研究 与 发 展 联邦 计划 》(Federal Plan for 
Cyber Security and Information Assurance Research and Development)" 提出 12 项 
计算 机 安全 和 信息 保障 基础 技术 ,其 中 * 硬 件 和 固件 安全 ?名 列 首位 。 该 文 对 硬件 和 
固件 安全 重要 性 的 描述 如 下 (原文 引用 ,第 69 Ge", 

“Hardware or firmware attacks can undermine even the most sophisticated 
application-level controls or security mechanisms. Malicious firmware that has 
unrestricted access to system components (e. g. ,if it is part of the OS kernel) has 
considerable potential to cause harm. introduce backdoor access (an undocumented 


way of gaining access to a computer. program. or service). install new software, or 
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modify existing software. If the underlying hardware and firmware cannot be 
trusted. then the OS and application security mechanisms also cannot be trusted. ” 

国内 外 近 几 年 越 来 越 多 地 加 速 出 现 一些 基 于 BIOS 的 应 用 和 安全 管理 增强 产品 。 
Intel 公司 的 “ 英 保 通 ? 产 品 2 ,为 企业 和 网 吧 用 户 提供 基于 硬件 和 BIOS 实现 的 资产 
管理 .系统 分 发 .磁盘 镜像 .远程 维护 等 功能 ,其 产品 的 实现 正 是 基于 Intel 全 新 推出 
的 EFI BIOS 产品 。Phoenix 公司 也 在 其 传统 BIOS 产品 中 增加 系统 认证 、 恢 复 、 嵌 入 
式 浏览 器 等 功能 模块 。 国 内 则 有 中 电 科 技 集团 30 所 的 基于 PCI ROM 的 磁盘 认证 和 
加 密 保 护 卡 ,西安 三 车 公司 的 基于 BIOS 的 系统 快速 恢复 和 资产 管理 产品 ,航天 二 院 
706 所 的 基于 BIOS 的 系统 用 户 认 证 和 权限 管理 产品 等 。 这 些 产 品 都 是 在 传统 BIOS 
的 层面 上 ,通过 附加 的 嵌入 模块 利用 BIOS 增强 系统 安全 管理 功能 。 


1.2.3 固件 安全 领域 新 动向 


当前 信息 安全 系统 的 保护 主要 由 防火 墙 .漏洞 扫描 、 病 毒 查 杀 防 护 等 构成 ,这 种 
砌 高 墙 . 堵 漏洞 ` 杀 病毒 的 做 法 只 能 导致 墙 越 砌 越 高 .漏洞 越 堵 越 多 .病毒 越 杀 越 强 的 
恶性 循环 。 这 种 恶性 循环 迫使 安全 界 探索 解决 计算 机 和 网 络 安全 问题 的 新 思路 。 其 
中 有 两 个 新 的 趋势 值得 重点 关注 : 

COD 基于 固件 和 硬件 的 AMT 和 vPro? 技术 Intel 公司 将 CPU 的 vPro d£ 
术 、EFI 固件 技术 以 及 以 太 网 控制 器 技术 相 结合 ,为 操作 系统 运行 环境 构造 了 一 个 带 
外 系统 。 该 带 外 系统 构造 了 一 个 软 硬 件 过 滤器 ,能够 识别 网 络 流量 中 的 恶意 代码 和 
潜在 攻击 ,从 而 在 威胁 到 达 操 作 系 统 之 前 将 其 消灭 。 为 计算 机 终端 构造 带 外 系统 能 
够 有 效 地 隔离 安全 保障 者 和 被 保障 者 ,增强 安全 保障 者 自身 的 安全 性 和 免疫 性 ,降低 
甚至 几乎 消除 安全 防护 对 操作 系统 和 用 户 工作 效率 的 影响 ,是 信息 安全 系统 防护 值 
得 关注 的 方向 。 

(2) TCG 和 可 信 计 算 B5 2003 年 ,TCG(Trusted Computing Group. ,可 信 计 算 
组 织 ) 成 立 ,推动 可 信 计 算 进 入 新 高 潮 。TCG 的 可 信 计 算 以 可 信 平 台 部 件 TPM 为 信 
任 基础 ,以 信任 链 为 纽带 ,以 完整 性 度量 和 报告 为 手段 ,来 保障 计算 终端 的 可 信和 安 


mik ae? 


全 。 通 过 终端 安全 ,构建 整体 的 可 信 计 算 平台 和 可 信 计 算 生 态 环境 。 

产业 界 是 可 信 计 算 推动 的 主导 力量 ,TCG 发 起 的 主体 就 是 IBM, Intel, HP, f 
软 \Sun 等 IT 企业 ,成 员 包 括 数 百 家 软 硬 件 公司 ,其 规范 的 制订 和 推广 也 是 产业 界 主 
持 和 推动 的 。 其 中 尤其 以 TPM 芯片 产品 进展 神速 ,目前 提供 TPM 芯片 的 厂家 包括 
Atmel, Broadcom Infineon\STMicro、Winbond、 兆 日 .联想 .武汉 瑞 达 等 。 我 国 国家 
密码 管理 局 也 已 于 2007 年 12 月 发 布 了 《可 信 计 算 密码 支撑 平台 功能 与 接口 规 
HE DS ,其 可 信 密 码 模 块 TCM [s] TPM 标准 基本 是 相对 应 的 。 

微软 Vista 操作 系统 已 经 提供 对 TPM 芯片 操作 系统 和 应 用 软件 级 的 操作 和 接 
口 支持 ,可 将 TPM 用 于 对 硬盘 数据 的 全 盘 加 密 存 储 技术 BitLocker。 国 内 对 于 信任 
链 的 研究 ,目前 更 多 地 集中 于 操作 系统 层 信任 链 的 构建 工作 ,包括 武汉 大 学 、 南 开 大 
学 .解放军 信息 工程 大 学 海军 计算 技术 研究 所 北京 交通 大 学 .北京 工业 大 学 等 的 一 
些 研究 成 果 55 33435353 。 而 对 于 操作 系统 下 层 的 BIOS 层 , 由 于 受到 技术 和 试验 条 
件 的 限制 ,国内 则 少 有 涉及 。 

产业 界 大 力 推动 的 可 信 计 算 , 由 于 完整 性 度量 的 局 限 性 ,并 不 能 够 实现 真正 的 安 
全 ,因为 这 种 度量 并 不 能 对 实体 行为 进行 度量 。 但 TCG 的 可 信 计 算 , 对 于 解决 信息 
安全 领域 目前 的 困境 ,还 是 存在 极 大 的 推动 作用 ,不 失 为 解决 目前 安全 困境 的 一 条 可 


1.3 本 书 研究 主题 与 目标 


BIOS 在 系统 安全 防护 中 处 于 一 种 基础 地 位 ,对 于 计算 终端 和 操作 系统 的 安全 能 
够 起 到 重要 的 保护 作用 。 然 而 ,BIOS 安全 的 重要 性 在 过 去 很 长 一 段 时 间 内 却 长 期 被 
忽视 。 伴 随 BIOS 安全 威胁 事件 的 逐渐 增加 、 安 全 向 硬件 和 固件 延伸 的 趋势 及 可 信 计 
算 的 发 展 ,重新 审视 计算 机 固件 BIOS 的 安全 地 位 ,对 BIOS 安全 问题 进行 系统 性 地 
研究 是 非常 有 必要 的 。 

本 书 围绕 计算 机 固件 安全 问题 的 两 个 方面 系统 性 地 阐述 研究 工作 : 
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(1) 传统 BIOS 的 设计 和 实现 从 一 开始 就 没有 考虑 安全 问题 ,其 设计 和 生产 完全 
是 从 应 用 需求 出 发 ,导致 现 有 的 BIOS 产品 存在 较 大 的 安全 风险 。 对 现存 大 规模 应 用 
的 传统 BIOS 产品 所 存在 的 安全 漏洞 进行 分 析 , 研 究 分 析 针 对 BIOS 系统 自身 、 操 作 
系统 和 应 用 所 存在 的 BIOS 安全 威胁 及 其 实现 技术 ,这 方面 研究 成 果 可 应 用 于 基于 
BIOS 层 的 信息 安全 攻防 ; 研究 对 计算 机 BIOS 系统 进行 安全 检测 的 理论 和 方法 , 开 
发 实现 一 种 计算 机 BIOS 安全 检测 系统 ,通过 安全 检测 达到 维护 和 增强 现 有 BIOS 产 
品 及 计算 机 系统 的 安全 性 ; 

(2) 基于 新 一 代 EFI/UEFI 规范 ,研究 新 一 代 安 全 BIOS 产品 开发 的 理论 和 方 
法 。 针 对 可 信 计 算 需求 ,准确 定位 BIOS 在 可 信 计 算 终端 中 的 作用 和 地 位 ,研究 安全 
BIOS 系统 开发 的 策略 ,模型 实现 方法 和 关键 技术 ,开发 实现 可 信 BIOS 的 产品 原型 。 


1.4 ”本 书 原创 性 主要 贡献 


围绕 固件 系统 安全 问题 的 两 个 方面 开展 深入 研究 ,本 书 主要 阐述 以 下 五 个 方面 
的 技术 和 研究 成 果 : 

(1) 以 市 场 现 有 传统 BIOS 产品 为 对 象 ,首次 比较 系统 地 分 析 并 验证 了 计算 机 
BIOS 系统 存在 的 安全 漏洞 ,对 漏洞 特征 和 漏洞 表示 进行 研究 ,建立 了 第 一 个 计算 机 
BIOS 漏洞 库 。 

(2) 分 析 了 多 起 典型 BIOS 安全 威胁 事件 ,分 析 概 括 了 操作 系统 与 BIOS 系统 的 
依赖 性 和 安全 互动 性 ,提出 并 实现 一 种 新 型 BIOS 木马 技术 。 该 技术 防 可 用 于 安全 
代理 , 攻 可 用 于 艇 入 式 木马 .病毒 或 rootkit. 

(3) 研究 了 对 计算 机 BIOS 进行 安全 检测 的 原理 和 技术 方法 ,提出 基于 漏洞 扫描 
和 恶意 代码 检测 的 计算 机 BIOS 安全 检测 模型 ,实现 了 一 种 计算 机 BIOS 安全 检测 系 
统 。 该 系统 能 够 对 目前 市 场 上 主流 BIOS 产品 进行 安全 检测 ,目前 已 经 成 功 地 进行 了 
产品 转化 。 

(4) 通过 比较 不 同 历史 阶段 对 可 信和 与 安全 两 个 概念 的 使 用 情况 ,阐明 可 信和 与 安 


gium 引言 (dd 


全 两 者 之 间 的 区 别 和 联系 。 本 书 认为 ,可 信 的 本 质 是 行为 的 安全 ,TCG 完整 性 度量 
并 不 总 是 能 够 保障 系统 的 安全 性 ,只 有 行为 的 可 信 度 量 才 等 价 于 安全 。 分 析 了 BIOS 
的 安全 需求 ,给 出 了 可 信 BIOS 的 定义 ,提出 适合 BIOS 系统 的 可 信 BIOS 保护 环 安全 
策略 和 模型 。 

(5) 通过 对 TCG 完整 性 度量 和 报告 .信任 链 构 建 等 规范 要 求 的 分 析 , 提 出 基于 
可 信 注 册 、 可 信封 装 、 可 信 验 证 三 个 步骤 的 可 信 BIOS 可 信和 度量 方法 ; 以 新 一 代 EFI/ 
UEFI 规范 和 Intel Framework 代码 为 基础 ,实现 了 一 个 可 信 BIOS 的 产品 原型 一 
UTBIOS。 在 UTBIOS 的 开发 实现 中 ,对 可 信 BIOS 保护 环 模型 实现 的 关键 问题 进行 
研究 ,给 出 了 最 小 CRTM 构造 的 约束 条 件 和 组 成 ,给 出 了 核心 可 信 代 码 CTC 和 受 保 
护 数据 项 PDI 的 一 个 划分 实现 ,设计 了 UTBIOS 的 可 信和 度量 结构 。 

BIOS 安全 的 重要 性 在 过 去 很 长 一 段 时 间 内 被 忽视 。 本 书 这 些 创新 性 研究 成 果 
对 于 基于 计算 机 底层 固件 BIOS 系统 的 终端 安全 防护 和 可 信 终 端 构 建 的 研究 ,具有 积 
极 的 推动 作用 和 借鉴 意义 。 


1.5 本 书 组 织 结构 


本 书 共 分 九 章 ,各 章 内 容 组 织 如 下 

第 1 章 “ 引 言 ” 介绍 计算 机 固件 的 概念 ,地 位 和 作用 ; 综述 固件 安全 领域 国内 外 
研究 现状 和 趋势 , 提 契 本 书 主要 研究 成 果 。 

第 2 章 “ 计 算 机 固件 的 发 展 与 技术 基础 ”考察 BIOS 技术 和 产品 发 展 历程 ,比较 
传统 BIOS 与 新 一 代 BIOS 的 优 缺 点 ; 介绍 公用 BIOS 产品 、 开 源 BIOS 项 目 及 我 国 
BIOS 研发 现状 ; 介绍 和 分 析 计 算 机 BIOS 实现 的 关键 技术 。 

第 3 章 “ 固 件 安全 技术 研究 开发 实例 ”结合 作者 对 传统 固件 安全 的 研究 开发 成 
果 , 以 传统 固件 安全 增强 和 安全 代理 技术 开发 为 实例 ,分 别 阐述 了 在 传统 的 Award 
BIOS 和 Phoenix BIOS 这 两 种 主流 的 个 人 计算 机 和 笔记 本 电脑 固件 产品 中 ,开发 第 
三 方 固件 安全 应 用 程序 的 原理 、 方 法 和 技术 手段 。 
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第 4 章 “ 固 件 BIOS 安全 漏洞 及 威胁 研究 ”分 析 BIOS 安全 漏洞 和 威胁 的 成 因 ; 
分 析 、 验 证 传统 BIOS 产品 存在 的 多 种 安全 漏洞 ; 对 BIOS 安全 威胁 进行 归纳 分 类 ,并 
从 技术 上 重点 研究 分 析 了 3 种 典型 的 BIOS 安全 威胁 事件 ; 分 析 BIOS 与 操作 系统 的 
互动 机 制 ,提出 并 实现 了 一 种 新 型 的 BIOS 木马 (代理 ) 技 术 。 

第 5 章 “ 计 算 机 BIOS 安全 检测 方法 与 实现 ”分 析 BIOS 安全 检测 的 复杂 性 ; 通 
过 BIOS 安全 漏洞 的 验证 、 特 征 提 取 和 漏洞 表示 的 系统 性 研究 ,首次 建立 了 计算 机 
BIOS 漏洞 库 ; 从 理论 和 技术 两 方面 探讨 BIOS 中 恶意 代码 检测 问题 ,提出 一 种 BIOS 
安全 检测 模型 ; 完成 对 主流 BIOS 产品 的 结构 解析 ,实现 了 一 种 BIOS 安全 检测 系统 。 

第 6 章 “ 可 信和 固件 开发 的 策略 和 模型 ” 辨析 了 可 信 与 安全 两 个 概念 之 间 的 关系 
及 其 对 信息 安全 研究 的 指导 意义 ; 通过 对 TCG 可 信 计 算 技 术 和 规范 的 分 析 , 明 确 了 
固件 在 可 信 平 台中 作为 CRTM 的 地 位 ; 分 析 了 固件 系统 的 安全 需求 ,通过 对 经 典 安 
全 策略 和 模型 的 比较 分 析 ,提出 一 种 能 够 满足 固件 系统 安全 需求 的 可 信和 固件 保护 环 
模型 。 

第 7 章 “ 可 信和 度量 基础 与 度量 方法 ”介绍 TCG 可 信 计 算 平台 的 结构 、 基 本 特性 、 
可 信 平 台 模块 、 可 信 根 和 信任 链 , 分 析 可 信 平 台中 存在 的 信任 关系 证 书 类 型 . 密 钥 类 
型 和 密 钥 管 理 机 制 ; 以 满足 TCG 可 信 平 台 特性 、 可 信和 度量 和 报告 规范 为 前 提 , 提 出 
可 信 固 件 的 可 信和 度量 方法 。 

第 8 章 “ 可 信和 固件 的 开发 实现 ”介绍 本 书 研究 工作 开发 的 可 信和 固件 一 - 
UTBIOS 实现 的 软 硬 件 基 础 ; 设计 并 实现 UTBIOS 的 CRTM 结构 ,可 信和 度量 结构 与 
流程 ; 在 UTBIOS 中 给 出 了 可 信和 固件 保护 环 模型 的 一 种 实现 ; 分 析 了 可 信和 度量 对 固 
件 系统 性 能 的 影响 。 

第 9 章 “ 结 论 ” 总 结 本 书 研究 工作 所 取得 的 主要 成 果 , 指 出 下 一 步 有 待 继续 完 善 
和 深入 展开 的 研究 工作 ,提出 可 开展 的 进一步 研究 方向 。 


第 2 章 
计算 机 固件 的 发 展 与 技术 基础 


计算 机 传统 BIOS 产品 和 技术 的 长 期 垄断 ,导致 国内 产业 界 和 学 术 界 对 BIOS 发 
展 历 程 . 开 发 技术 基础 等 介绍 性 的 文章 ,书籍 等 材料 较 少 ,这 方面 和 消 有 影响 的 书籍 只 
有 我 国 台湾 地 区 族 标 出 版 社 出 版 、 陈 文 钦 编 写 的 4BIOS 研发 技术 剖析 》 一 书 , 该 书 一 
度 成 为 中 国 大 陆 可 公开 参考 的 传统 BIOS 技术 唯一 的 可 参考 书籍 ,也 是 本 书 作者 初 人 
门 时 研究 BIOS 技术 和 BIOS 安全 购买 的 第 一 本 参考 书籍 。 而 且 BIOS 相关 的 一 些 专 
门 技术 基础 也 只 限定 在 较 小 范围 的 产业 专业 领域 人 员 所 掌握 ,其 技术 的 公开 受到 计 
算 机 产业 链 上 从 芯片 厂商 .主板 厂商 到 固件 厂商 的 限制 。 而 这 些 知识 对 本 书后 续 的 
研究 分 析 和 实现 工作 的 开展 又 是 必 不 可 少 的 ,既是 传统 BIOS 安全 漏洞 和 威胁 的 研 
究 技 术 基 础 ,又 对 新 一 代 安 全 固件 EFI 开 发 路 线 的 选择 具有 指导 作用 。 因 此 ,本 章 
结合 本 书 研究 过 程 所 获取 的 一 些 材料 和 实践 经 验 , 介 绍 BIOS 技术 .产品 发 展 历程 
和 BIOS 产品 开发 的 关键 基础 知识 。 在 不 侵犯 相关 软 硬 件 厂商 的 知识 产权 的 前 提 
下 ,按照 作者 自身 研究 的 体验 , 尽 可 能 多 地 介绍 固件 安全 技术 研究 所 需要 的 固件 基 
础 技术 资料 。 
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2.1 计算 机 固件 发 展 历程 


2.1.1 传统 BIOS 的 演变 


当初 ,Intel 公司 设计 微型 计算 机 8086/8088 处 理 器 时 ,CPU 加 电 后 第 一 个 动作 ， 
就 是 设置 代码 段 寄存 器 CS、 数 据 段 寄存 器 DS、 附 加 段 寄存 器 ES、 堆 栈 段 寄存 器 SS 
的 初始 值 等 于 OFFFFh, 设 置 指令 指针 寄存 器 IP 的 值 为 0000h, 从 而 将 指令 指针 指向 
了 物理 地 址 OFFFFoh, 从 该 地 址 取得 第 一 条 CPU 将 要 执行 的 指令 。 随 后 80286、 
80386 .80486、Pentium 等 IA (Intel Architecture) Ab Jil 25 «LA AMD, VIA/Cyrix 等 处 
理 器 ,也 都 保留 了 这 样 的 中 央 处 理 器 初始 化 设计 特性 ,以 使 硬件 能 够 保留 这 种 向 后 兼 
容 性 (Backward Compatibility)" 。 

最 早 的 8086/8088 中 央 处 理 器 只 有 20 根 地 址 线 , 最 大 寻 址 空间 是 2? bits = 
1024KBytes— 1 MBytes ,十 六 进 制 表 示 就 是 00000h ~ OFFFFFh 这 个 地 址 空间 。 从 
CPU 加 电 令 指令 指针 指向 的 OFFFFOR 地 址 到 最 大 地 址 空间 OFFFFFh 地 址 ,这 之 中 
仅 有 16 字 节 的 空间 ,根本 不 可 能 放下 任何 足够 的 固件 BIOS 初始 化 代码 段 , 因 此 存放 
在 这 里 的 起 始 指令 通常 是 一 条 长 跳 转 指令 ， 

FFFF:0000 EA5BE000F0 JMP FAR PTR 0F000:E05Bh 


CPU 加 电 后 ,首先 从 BIOS 中 取得 这 条 长 跳 转 指令 ,执行 这 条 指令 ,从 而 跳 转 到 
前 端 空间 的 指定 位 置 (OFE05Bh) ,从 该 位 置 处 取得 下 一 条 将 要 执行 的 指令 继续 执行 。 
不 同 厂商 和 BIOS 产品 类 型 ,长 跳 转 的 目标 地 址 也 可 能 有 所 差别 ,而 原理 都 是 相通 的 。 

中 央 处 理 器 进化 到 32 位 后 ,其 寻 址 空间 增加 到 了 4GB, 然 而 却 仍 然 保 留 了 CPU 
加 电 后 的 指令 指针 设计 特性 , 即 CPU 加 电 后 读 取 的 第 一 条 指令 仍然 存放 在 4GB 空 
间 的 最 后 一 个 16 字 节 的 起 始 位 置 ,物理 地 址 为 OFFFFFFFOh。 

需要 注意 的 是 ,这 些 固 化 在 计算 机 主板 上 芯片 中 的 固件 BIOS 代码 的 存放 区 域 ， 
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虽然 是 独立 存储 在 蕊 片 中 ,占用 的 却 是 统一 的 计算 机 内 存 地 址 区 域 ,通常 就 是 内 存 的 
最 高 端的 地 址 区 域 ,这 部 分 内 存 区 域 通常 也 称 为 影子 内 存 (shadow) 。 

第 一 个 创造 BIOS 的 是 当时 被 称 为 蓝 色 巨人 的 IBM 公司 。IBM 公司 将 最 初 的 固 
f BIOS 资料 结构 完全 公开 ,使 得 后 来 的 BIOS 产品 为 保持 兼容 性 都 保留 了 几乎 相同 
的 内 存 区 域 分 配 和 数据 结构 。 到 386 平台 之 前 ,BIOS 固件 产品 同 最 初 的 TBM 公司 
的 BIOS 在 结构 功能 .尺寸 大 小 上 都 没有 太 大 的 改变 。 

计算 机 进入 386 处 理 器 平台 之 后 ,由 于 IT 业界 功能 规范 的 增加 ,PROM 芯片 容 
量 的 持续 增加 和 价位 下 跌 等 因素 影响 ,原来 独立 存放 的 CMOS 设置 代码 被 加 入 到 
BIOS 芯片 中 ,再 加 上 BIOS 要 求 能 够 不 断 支 持 各 种 新 增加 的 外 围 设备 ,为 这 些 外 围 设 
备 提供 初始 化 操作 代码 ,测试 操 作 代 码 及 统一 的 功能 抽象 表达 层 代 码 , 使 得 固件 
BIOS 的 代码 容量 急剧 增加 ,需要 占用 OF0000 ~ OF FFFFh 一 共 64KB 的 空间 。 而 到 
486 平台 后 ,由 于 中 央 处 理 器 CPU 的 多 样 化 ,对 超大 容量 硬盘 的 LBA(Logical Block 
Addressing) ,CHS(Cylinder/Head/Sector) 转换 支持 ,新 的 南北 桥 集 成 芯片 组 的 出 
现 , 以 及 PCI 总 线 的 流行 ,都 使 得 BIOS 代码 容量 迅速 突破 64KB, 需 要 使 用 128KB 的 
EPROM 芯片 存储 中 。 

伴随 着 BIOS 代码 的 尺寸 增加 ,为 在 有 限 容量 的 EPROM 芯片 中 能 够 存放 更 多 
的 固件 代码 ,BIOS 厂商 在 Pentium 处 理 器 时 代 中 期 引入 了 ”模块 压缩 /解压 缩 技 术 。 
这 样 ,通常 BIOS 中 只 有 几 个 不 压缩 的 程序 模块 (其 中 包括 解压 缩 模块 ) ,而 其 他 模块 
通常 都 压缩 存储 。 计 算 机 加 电 初段 , 先 执行 非 压 缩 存储 模块 的 代码 ,建立 起 必要 的 硬 
件 和 软件 的 执行 环境 ,然后 调用 非 压 缩 存储 的 解压 缩 模 块 代码 ,对 其 他 将 要 被 执行 的 
压缩 模块 先进 行 解压 缩 操作 ,然后 再 执行 该 模块 代码 。 所 使 用 的 压缩 算法 ,往往 可 使 
模块 代码 /数据 的 压缩 率 达到 30% 一 60% 之 间 。 这 种 压缩 /解压 缩 技术 ,使 得 BIOS 
厂商 能 够 在 寸土 寸 金 的 EPROM 芯片 中 ,加 入 功能 更 多 支持 总 线 \ 外 围 设备 更 齐全 
的 BIOS 代码 。 

到 486 处 理 器 使 用 后 期 ,伴随 Windows 操作 系统 的 出 现 ,对 PC 的 设备 智能 管理 
和 电源 管理 功能 提出 了 更 高 的 要 求 , 同 时 出 现 了 所 谓 的 绿色 微机 (Green PC) 的 概念 
和 工业 规范 ,以 及 高 级 电源 管理 (Advanced Power Management. APM), Ell fi BI FA 
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(Plug and Play,PnP) 和 随后 的 高 级 配置 与 电源 接口 (Advanced Configuration and 
Power Interface, ACPI) , USB 总 线 等 功能 规范 的 出 现 , 使 得 BIOS 代码 容量 即使 压缩 
也 很 难 维持 在 128KB 之 下 ,通常 已 经 达到 256KB, 甚 至 是 512KB。flash 芯片 的 出 现 ， 
允许 能 够 重复 擦 写 BIOS 中 与 PnP 规格 相关 的 数据 内 容 , 同 时 flash 价格 的 持续 下 
降 , 使 得 固件 厂商 逐渐 转 为 采用 flash 芯片 存储 ,而 容量 也 扩展 为 512KB 甚至 是 1MB. 

以 上 所 述 为 传统 BIOS(Legacy BIOS) 演 变 过 程 ,之 所 以 称 为 传统 BIOS, 是 为 了 
将 其 同 Intel 公司 在 2003 年 发 布 的 遵从 扩展 固件 接口 EFI 规范 的 新 一 代 固件 相 区 
别 。 从 传统 BIOS 的 演变 过 程 来 分 析 ,本 书 将 传统 BIOS 划分 为 两 代 产品 。 

从 20 世纪 80 年 代 初 期 到 20 世纪 90 年 代 末期 这 一 阶段 的 BIOS 可 以 称 为 第 一 
f& BIOS 产品 。 这 一 代 BIOS 产品 的 主要 技术 特点 是 隐藏 硬件 平台 在 芯片 组 .外 围 设 
备 控制 器 等 方面 的 细节 上 的 差别 ,为 操作 系统 提供 统一 的 硬件 平台 操作 接口 ,使 得 操 
作 系统 能 够 在 硬件 抽象 层 上 执行 标准 的 初始 化 和 操作 过 程 ,而 能 保持 在 不 同 硬件 平 
台 上 和 良好 的 兼容 性 。 总 之 ,第 一 代 BIOS 产品 的 主要 作用 ,就 是 要 在 硬件 和 操作 系统 
软件 之 间 建 立 一 个 方便 硬件 配置 和 操作 的 桥梁 , 除 此 之 外 没有 更 多 的 功能 需求 。 

从 20 世纪 90 年 代 末期 之 后 ,EFI 固件 之 前 ,这 一 阶段 的 固件 BIOS 产品 可 以 称 
为 传统 BIOS 的 第 二 代 产 品 。 这 一 时 期 的 固件 BIOS 产品 除了 保留 第 一 代 BIOS 的 桥 
梁 功 能 之 外 ,突出 的 变化 是 增加 了 设备 智能 管理 .电源 管理 以 及 更 多 的 附属 增值 应 用 
等 ,所 增加 的 典型 功能 包括 PCI 设备 的 自动 枚 举 、 外 插 卡 自动 资源 分 配 、 计 算 机 休眠 / 
唤醒 、 计 算 机 远程 唤醒 、 即 插 即 用 等 。 这 些 新 增加 到 BIOS 的 功能 ,使 得 BIOS 更 具有 
一 个 小 型 的 微 操作 系统 的 本 领 , 即 所 谓 的 Mini OS。 甚 至 于 在 这 个 时 期 ,很 多 笔记 本 
电脑 ,依托 BIOS 功能 ,在 计算 机 加 电 后 ,无须 进 入 操作 系统 ,就 能 够 为 用 户 提供 音乐 
播放 等 功能 ,使 用 户 体验 到 快捷 方便 的 服务 。 


2.1.2 传统 固件 BIOS 的 缺陷 


计算 机 技术 ,尤其 是 中 央 处 理 器 和 芯片 技术 的 快速 发 展 , 令 传统 固件 BIOS 背负 
着 沉重 的 向 前 兼容 负担 ,小 心 翼 辟 向 前 疏 行 着 发 展 。 固 件 BIOS 智能 化 程度 和 功能 多 
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样 性 不 断 提高 ,而 其 运行 机 制 却 仍然 是 建立 在 20 世纪 80 年 代 初 期 的 第 一 代 传 统 固 
件 的 技术 上 , 毫 无 创新 和 发 展 。 在 计算 机 软 硬 件 技术 飞速 发 展 的 今天 ,传统 固件 
BIOS 的 发 展 明显 缓慢 并 远 远 滞后 于 硬件 和 操作 系统 技术 的 发 展 ,不 能 充分 分 享 其 他 
软 硬 件 技术 发 展 成 果 。 传 统 固 件 BIOS 的 主要 缺陷 可 以 总 结 如 下 : 

(1) 传统 固件 BIOS 仍然 运行 在 16 位 实 模式 下 ,这 使 得 Pentium 4 的 CPU 在 
BIOS 运行 阶段 只 相当 于 一 块 高 速 的 8086 中 央 处 理 器 。 并 且 由 于 实 模 式 的 寻 址 限 
制 ,传统 固件 BIOS 在 运行 过 程 中 ,代码 数据 和 堆栈 也 只 能 限制 在 1MB 的 内 存 空间 
中 ,不 能 充分 利用 Pentium 4 的 4GB 超大 内 存 空 间 。 尽 管 后 来 ,在 BIOS 执行 的 某 些 
阶段 加 入 了 支持 4GB 的 平坦 模式 的 支持 , 却 远 远 不 能 充分 发 挥 中 央 处 理 器 硬件 新 技 
术 上 的 优势 , 令 固件 BIOS 运行 阶段 的 系统 可 用 资源 大 大 受 限 。 

(2) 传统 固件 BIOS 封闭 的 开发 方式 严重 阻碍 了 固件 BIOS 技术 发 展 。 传 统 固件 
BIOS 缺乏 统一 和 开放 的 架构 ,不同 固件 BIOS 厂商 其 BIOS 产品 结构 设计 千差万别 ， 
并 且 因 为 技术 保密 和 市 场 利 益 的 原因 ,这 些 固件 BIOS 产品 的 结构 对 大 多 数 产 业 链 上 
的 厂商 来 说 ,都 是 未 知 的 。 芯 片 厂商 需要 将 新 研发 的 芯片 产品 交 给 不 同 的 固件 BIOS 
厂商 进行 驱动 测试 ,等 待 该 芯片 及 驱动 程序 在 固件 BIOS 层 工作 良好 后 ,才能 转交 给 
主板 厂商 或 计算 机 整 机 厂商 。 为 了 加 快 这 个 过 程 ,芯片 厂商 希望 有 统一 的 固件 驱动 
模式 和 接口 ,由 芯片 厂商 自行 开发 出 在 不 同 厂商 固件 BIOS 上 都 能 运行 测试 的 驱动 ， 
而 非 由 固件 BIOS 厂商 来 定制 和 集成 ,以 加 快 PC 硬件 研发 的 速度 。 而 这 种 驱动 的 开 
发 ,也 希望 由 传统 BIOS 开发 所 采用 的 汇编 语言 ,转向 高 级 C 语言 。 

(3) 传统 固件 BIOS 的 设计 ,从 一 开始 就 缺乏 安全 方面 的 考虑 。 


2.1.3 新 一 代 固件 EFI/UEFI 


微 处 理 器 厂商 Intel 公司 很 早 就 意识 到 传统 固件 BIOS 技术 上 的 缺陷 。 该 公司 从 
1997 年 起 , 较 早 就 从 公司 内 部 悄然 发 起 对 传统 固件 BIOS 技术 的 革新 。1999 年 , Intel 
公司 开发 出 “Intel 平台 创新 框架 ”(Intel Platform Innovation Framework)" ff Jg d 
一 代 系 统 固 件 开发 的 体系 架构 。 在 这 个 体系 架构 下 ,Intel 公司 定义 了 扩展 固件 接口 
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(Extensible Firmware Interface,EFD5G 规 范 , 规 范 中 规定 了 固件 中 硬件 驱动 程序 以 
及 固件 同 操作 系统 接口 的 新 标准 ,并 首先 在 64 位 Itanium 服务 器 上 使 用 了 这 种 创新 
的 固件 产品 ,取得 了 良好 的 效果 。 随 后 在 2003 年 ,Intel 公司 正式 向 外 界 推出 ,将 符合 
EFI 1.10 规范 的 平台 创新 框架 产品 移植 到 IA 32 位 处 理 器 上 ,并 在 Intel 公司 的 个 人 
计算 机 主板 产品 上 全 面 采用 符合 EFI 规范 的 新 一 代 BIOS 产品 。 为 推动 这 种 新 固件 
架构 的 发 展 和 广泛 使 用 ,Intel 公司 开源 了 一 个 称 为 Tiano 的 EFI 1. 10 规范 的 固件 实 
现 框架 的 源 代码 ,并 在 2005 年 联合 PC 业界 其 他 厂商 一 起 ,成 立 了 UEFICUnified 
EFD) 论 坛 , 致 力 于 开发 业界 公认 的 EFI 固件 标准 。UEFI 委员 会 以 EFI 1. 10 规范 为 
基础 ,于 2006 年 发 布 了 UEFI 2. 0 标准 中 ,2007 年 1 月 发 布 了 UEFI 2. 1 标准 中 。 截 
至 本 书写 作为 止 , 目 前 UEFI 标准 的 最 新 版 本 是 2. 3. 1。 

Intel 平 台 创新 框架 和 EFI, UEFI 规范 的 成 功 创立 ,解决 了 传统 固件 BIOS 在 运 
行 机 制 方面 的 缺陷 ,为 业界 提供 了 统一 的 固件 驱动 和 应 用 程序 模式 。 它 定义 了 EFI 
了 驱动 程序 (EFI Driver) Hl EFI 应 用 程序 (EFI Application) 结 构 , 人 允许 硬件 开发 商 、 操 
作 系 统 开 发 商 \ 应 用 软件 开发 商 以 及 普通 用 户 从 外 部 存储 设备 中 加 载 各 自 开发 的 硬 
件 驱 动 程序 和 固件 应 用 程序 。 另 外 ,还 提供 了 固件 层次 的 程序 调试 诊断 工具 和 调试 
运行 仿真 环境 ; 定义 了 统一 的 引导 服务 (Boot Services) 和 运行 时 服务 (Runtime 
Services) 以 满足 固件 和 操作 系统 两 个 层次 的 功能 调用 需求 ; 并 且 它 在 运行 阶段 ,很 
时 就 从 中 央 处 理 器 加 电 默 认 的 实 模式 切换 到 32 位 保护 模式 下 运行 。 这 种 创新 的 固 
件 核心 架构 和 技术 , 正 是 计算 机 工业 界 所 一 直 和 希望 得 到 的 结果 ,因此 得 到 业界 各 层次 
厂商 的 迅速 支持 。UEFI 规范 在 短 短 几 年 中 ,迅速 发 展 成 为 新 一 代 固件 不 可 避免 的 主 
流 和 事实 上 的 业界 标准 。 

遗憾 的 是 ,这 种 新 一 代 固 件 创新 架构 在 增加 了 标准 性 、 先 进 性 、 互 动 性 的 同时 ， 
并 没有 解决 传统 固件 存在 的 固有 的 安全 问题 ,反而 是 为 固件 层次 带 来 了 更 多 的 安 
全 问题 。 当 然 , 在 最 初 的 设计 中 ,Intel 公司 已 经 为 这 种 新 一 代 固 件 平 台 创新 架构 预 
留 了 部 分 安全 设计 的 接口 3。 不 过 Intel 公司 在 其 新 一 代 固 件 产品 实现 中 ,这 些 接 
口 的 实现 仍然 是 一 个 空白 ,只 是 给 出 了 指导 性 的 实现 建议 ,而 更 多 具体 的 安全 功 
能 , 则 需要 固件 厂商 或 者 是 其 他 第 三 方 软 硬 件 厂 商 去 实现 。 而 本 书 研究 结果 也 表 
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Bj ,这些 安 全 接口 的 定义 和 实现 ,也 远 远 不 能 满足 固件 层次 越 来 越 复 杂 的 安全 运行 

值得 一 提 的 是 , 介 于 传统 固件 和 新 一 代 EFI 固件 之 间 , 还 出 现 了 一 种 固件 雏形 较 
有 代表 意义 ,而 最 终 在 同 EFI 规范 的 竞争 中 败 下 阵 来 ,成 为 过 眼 云烟 。 这 就 是 全 球 最 
大 的 固件 BIOS 厂商 美国 Phoenix 公司 在 2003 年 与 EFI 同期 提出 的 核心 系统 软件 固 
件 CSS BIOS(Core System Software BIOS)。Phoenix 公司 提出 的 这 种 新 型 固件 计划 
同 微软 公司 合作 ,将 固件 BIOS 直接 嵌入 到 微软 公司 的 下 一 代 操 作 系统 中 ,使 固件 成 
为 操作 系统 的 一 部 分 。 微 软 公司 也 长 久 以 来 就 一 直 希 望 能 够 跳 过 固件 BIOS 直接 控 
制 计算 机 硬件 ,但 却 从 来 没有 真正 地 成 功 过 。 通 过 直接 被 放 和 人 到 Windows 操作 系统 
最 底层 中 的 CSS BIOS, 上 层 图 形 界面 用 户 就 可 以 通过 CSS 技术 直接 控制 计算 机 硬 
件 ,换个 角度 理解 就 是 操作 系统 可 以 直接 访问 和 管理 所 有 硬件 资源 ,从 而 彻底 抛弃 技 
术 已 经 落后 过 时 的 传统 BIOS 固件 。 

从 技术 和 功能 角度 来 看 ,CSS 在 操作 系统 与 硬件 高 度 结合 的 优势 下 ,对 比 传统 
BIOS 具有 数字 安全 、 网 络 管理 .灾难 恢复 等 方面 的 优点 。 从 用 户 的 角度 来 看 ,CSS 
BIOS 的 最 大 好 处 在 于 将 计算 机 操作 变 得 更 加 简单 可 靠 ,具有 更 强 的 可 维护 性 ,配置 
管理 界面 都 有 大 幅度 的 改善 。 这 样 的 固件 BIOS 或 者 只 是 Windows 中 的 一 个 组 件 ， 
只 需要 打开 控制 面板 做 出 相应 的 调整 就 可 以 简单 明了 地 调整 硬件 设置 ,并 且 即 时 生 
效 。 这 听 起 来 似乎 十 分 理想 ,不 过 CSS BIOS 固件 同样 存在 很 多 缺点 。 首 先 ,CSS 
BIOS 只 是 把 放 在 flash 芯片 等 非 易 失 性 存储 体 中 的 固件 , 换 成 纯 软 件 的 形式 存储 在 
操作 系统 中 ,对 传统 固件 BIOS 系统 本 质 上 的 变革 有 限 。 其 次 , 若 操作 系统 直接 包含 
固件 BIOS 固然 可 强化 对 硬件 的 控制 能 力 , 但 如 果 恶 意 程 序 取得 对 操作 系统 的 控制 
权 , 就 能 直接 对 系统 安全 做 出 更 具 破 坏 力 的 操作 ,或 更 容易 对 计算 机 用 户 的 操作 进行 
监视 .窃取 资料 。 外 部 程序 侵入 成 为 CSS BIOS 固件 最 直接 的 隐患 ,一 旦 外 部 程序 取 
得 计算 机 的 控制 权 ,那么 CSS BIOS 将 会 变 成 最 大 的 敌人 ,在 连 UNIX 都 常 被 攻破 的 
今天 ,漏洞 百出 的 Windows 如 何 保证 自身 的 安全 呢 ? 

CSS BIOS 技术 看 起 来 很 诱 人 ,不 过 ,目前 符合 EFI 规范 的 固件 已 经 成 为 事实 上 
的 新 一 代 固 件 工业 标准 ,发 展 迅 速 ,而 同期 提出 的 CSS. BIOS 此 后 一 段 时 间 却 无 任何 
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发 展 , 其 提出 者 Phoenix 公司 和 微软 公司 ,都 已 经 在 2007 年 开始 加 入 UEFI 阵营 , 转 
而 支持 UEFI 标准 。 两 种 新 一 代 固件 架构 和 技术 的 优 劣 之 争 显而易见 ,以 Intel 公司 
的 EFI 最 后 胜出 而 告终 。 

以 UEFI 为 标准 的 新 一 代 固件 ,可 以 称 为 第 三 代 固 件 。 第 三 代 固 件 同 第 一 代 和 
第 二 代 传 统 固件 BIOS 相 比 较 , 不 再 是 简单 的 继承 修改 和 完善 ,而 是 一 次 彻底 的 创 
新 。 表 2. 1 对 传统 固件 BIOS 和 新 一 代 EFI 固件 从 差异 性 方面 作 了 比较 。 


表 2.1 传统 BIOS 与 新 一 代 BIOS 差异 特性 比较 


序 号 特 性 传统 BIOS 新 一 代 EFI BIOS 
1 运行 模式 16 位 实 模式 32 位 保护 模式 
2 用 户 界面 文本 界面 图 形 界面 
3 系统 开发 语言 汇编 语言 C 语 言 (少量 汇编 ) 
4 驱动 开发 语言 汇编 语言 C 语 言 ,bytecode 
5 TCP/IP 协议 支持 不 支持 支持 
6 BIOS 层 调 试 运行 环境 无 EFI Shell 
7 外 部 驱动 加 载 , 标 准 不 支持 X f$ EFI Driver 
8 外 部 应 用 加 载 ,标准 不 支持 X f$ EFI Application 


2.2 固件 产品 和 技术 研发 状态 


2.2.1 公用 固件 产品 


计算 机 传统 固件 BIOS 产品 市 场 和 研发 技术 一 直 以 来 被 我 国 台湾 地 区 和 美国 的 
公司 所 垄断 。 由 于 率 扯 到 专利 权 与 厂商 之 间 的 竞争 因素 ,固件 BIOS 产品 的 兼容 性 与 
合法 性 ,一 直 是 试图 进入 这 一 领域 的 业界 企业 要 面 对 的 严肃 问题 。1983 年 ,“ 台 湾 工 
研 院 ”电子 工业 研究 所 (ERSO) ,以 纯净 室 (Clean Room) 方 式 , 开 发 出 与 IBM PC 相 兼 
fil) ERSO BIOS, 并 授权 转移 给 我 国 台湾 地 区 厂商 使 用 。 成 立 于 1979 年 的 美国 厂 
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商 Phoenix Technologies 公司 以 同样 的 纯净 室 方式 ,在 286 时 代 开 发 出 功能 强大 且 兼 
容 的 286 AT BIOS。 随 后 , AMI(American Megatrends Inc. ), Award Software Inc. 
等 也 相继 加 入 固件 BIOS 产品 的 角逐 ,形成 了 美国 厂商 Phoenix 公司 .AMI 公司 和 我 
国 台湾 地 区 厂商 Award 公司 在 商业 固件 BIOS 市 场 上 三 足 鼎 立 的 局 面 ] 。 

1998 年 9 月 美国 Phoenix 公司 收购 Award 公司 。 而 同期 (1998 年 9 月 ) 成 立 的 
“台湾 系 微 股 份 公司 ”Insyde) 买 下 SystemSoft 公司 的 固件 BIOS 版 权 与 相关 研发 部 
门 , 并 同 Intel 公司 合作 ,开拓 传统 固件 BIOS 和 EFI 固件 产品 研发 和 市 场 。 由 此 , 克 
断 固件 设计 生产 的 仍然 是 我 国 台湾 地 区 的 Insyde 公司 、 美 国 的 Phoenix 公司 和 美国 
的 AMI 三 家 公司 。 


2.2.2 开源 固件 BIOS 项 目 


为 打破 传统 固件 BIOS 技术 的 垄断 和 封锁 ,国际 上 出 现 了 一 些 固件 BIOS 开发 和 
设计 的 开源 项 目 和 组 织 。 这 其 中 比较 有 影响 的 有 TinyBIOS 项 目 .OpenBIOS 项 目 和 
LinuxBIOS 项 目 。 但 由 于 固件 BIOS 技术 与 芯片 组 和 平台 密切 相关 ,这 些 开 源 BIOS 
项 目 由 于 难以 建立 同 产业 链 上 的 硬件 厂商 的 联合 ,因此 其 项 目 固件 支持 的 芯片 组 和 
平台 非常 有 限 ,只 能 在 少数 特定 硬件 平台 上 和 运行, 而且 其 固件 的 实现 对 现 有 工业 标准 
的 支持 (PnP、ACPI 等 ) 也 并 不 全 面 。 不 过 这 些 开 源 固件 BIOS 项 目的 出 现 ,为 打破 传 
统 固件 BIOS 技术 的 垄断 ,不 断 推进 固件 BIOS 技术 的 开放 和 发 展 还 是 作出 了 重要 的 


1. TinyBIOS 


TinyBIOS(http://www. pcengines. ch/tinybios. htm) 是 一 个 为 嵌入 式 PC 开发 
的 开源 固件 BIOS 项 目 ,固件 BIOS 中 同 嵌 入 式 需 求 不 相关 的 部 分 都 未 被 实现 ,如 电 
源 管理 ,BIOS 设置 程序 (BIOS Setup) 等 。 目 前 该 项 目 支持 的 操作 系统 包括 DOS, 
Linux, FreeBSD, Windows NT。 开 源 的 TinyBIOS 只 支持 两 种 芯片 组 : ALICAcer 
Labs) M1487 FINALi 和 ALI M6117, 其 他 芯片 组 的 支持 则 需要 购买 授权 或 由 用 户 
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自行 实现 。 从 架构 和 实现 技术 上 看 ,TinyBIOS 实际 上 是 传统 BIOS 的 缩减 版 。 
2. OpenBIOS 


OpenBIOS(http: / /openbios. info/Welcome to OpenBIOS) tli  — ^ JF W BIOS 
项 目 ,其 目标 是 开发 免费 .开放 源 代 码 、 不 依赖 于 任何 硬件 架构 的 固件 BIOS ,为 传统 
商业 固件 BIOS 提供 一 个 替代 产品 。OpenBIOS 的 开发 遵循 IEEE 1275-1994 的 标 
HEC) (通常 称 为 Open Firmware 标准 ), 并 且 设计 了 一 种 FCode 中 间 语 言 ,使 得 
OpenBIOS 的 代码 实现 在 编译 后 不 依赖 于 任何 一 种 CPU 指令 集 , 使 得 代码 具有 很 好 
的 不 同 硬件 平台 的 兼容 移植 性 。OpenBIOS 的 目标 是 能 够 支持 各 种 不 同 的 硬件 平 
台 , 包 括 如 X86, AMD64, PowerPC, ARM 和 Mips 等 各 种 服务 器 .工作 站 和 艇 入 式 设 
备 。 在 SUN, Apple IBM 的 某 些 服务 器 和 工作 站 中 已 经 应 用 了 OpenBIOS 某 些 固件 
产品 。OpenBIOS 优先 支持 的 是 UNIX 和 Linux 操作 系统 ,对 微软 Windows 操作 系 
统 的 兼容 性 支持 有 待 进一步 完善 。 

大 多 数 情况 下 ,OpenBIOS 依赖 于 更 底层 的 固件 来 完成 平台 硬件 的 初始 化 工 
ME, 如 OpenBIOS 常常 同 LinuxBIOS, U-Boot 一 起 使 用 。 从 这 个 意义 上 讲 ， 
OpenBIOS 也 只 是 完成 传统 商业 BIOS 产品 的 部 分 上 层 工 作 , 不 是 真正 意义 的 完整 
BIOS 固件 。 


3. LinuxBIOS 


LinuxBIOS(http: // www. coreboot. org/Welcome to coreboo0 [ri] FÉ J& — 4 JF ilii 

的 自由 软件 项 目 。LinuxBIOS 项 目的 技术 思路 很 有 创意 , 它 采 用 相对 较 少 的 代码 来 
初始 化 平台 硬件 设备 ,然后 快速 进入 一 个 称 为 payload 的 核心 执行 层 ,这 种 核心 执行 
层 可 以 是 如 Linux Kernel, Grub2, OpenBIOS 等 ,由 核心 执行 层 来 完成 更 多 更 复杂 的 
台 设 置 和 用 户 应 用 需求 工作 四。 就 像 LinuxBIOS 的 名 字 显 示 的 一 样 ,这 个 项 目 最 
初 是 为 了 支持 Linux 内 核 的 快速 引导 ,不 过 随 着 LinuxBIOS 的 发 展 ,目前 已 经 开发 出 
称 为 ADLO 的 payload, 用 于 在 LinuxBIOS 层 上 提供 对 Windows 系统 引导 的 支持 。 
ADLO 项 目 源 于 开源 的 BochsChttp: //bochs. sourceforge. net/) 项 目 , 其 提供 了 对 16 
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位 传统 BIOS 的 虚拟 实现 支持 。 

LinuxBIOS 运行 过 程 很 早 就 切换 进入 32 位 保护 模式 ,基本 采用 C 语言 进行 开 
发 ,这 同 Intel 的 EFI 固件 很 相似 。 

LinuxBIOS 只 有 同 其 上 的 payload 一 起 工作 ,才能 完成 传统 固件 BIOS 的 功能 。 
但 其 上 的 payload 又 可 以 进行 扩展 ,甚至 等 同 于 一 个 微型 操作 系统 (Mini OS) ,将 
LinuxBIOS 和 这 个 Mini OS 一 起 封装 进 芯 片 中 ,成 为 一 个 界面 丰富 的 内 入 式 系统 。 
在 嵌入 式 领域 ,LinuxBIOS 具备 一 定 优势 。 


4. Bochs 


Bochs(http://bochs. sourceforge. net/) 实 际 上 不 是 一 种 固件 ,而 是 一 种 十 分 轻 
便 的 使 用 C++ 编写 的 开源 IA-32(x86) 计 算 机 模拟 器 ,可 以 运行 在 多 种 平台 上 。 它 仿 
真 英特尔 x86 CPU 常见 的 I/O 设备 和 定制 的 固件 BIOS。 目 前 ,Bochs 可 以 被 编译 
仿真 386,486, Pentium/Pentium [I /Pentium Ill /Pentium 4 或 x86-64 位 的 CPU. f 
括 可 选 的 MMX,SSEx 和 3DNow! 指令 。 在 Bochs 仿真 环境 里 能 够 运行 许多 操作 系 
统 , 如 Linux, DOS, Windows 95/98/NT/2000/XP 或 者 Windows Vista。Bochs 可 以 
被 编译 运用 在 多 种 模式 下 ,其 中 有 些 仍 处 于 发 展 中 。 

之 所 以 在 开源 固件 项 目 中 介绍 Bochs, 是 因为 在 Bochs 项 目的 开源 代码 中 ,有 使 
用 C/C++ 代码 编写 的 较 完整 的 传统 固件 BIOS 的 仿真 实现 代码 。 阅 读 这 些 代码 ,这 
无 疑问 能 够 更 深入 地 了 解 和 掌握 传统 固件 BIOS 技术 。 甚 至 于 一 些 厂 商 ,通过 修改 使 
用 Bochs 中 的 固件 BIOS 仿真 实现 代码 ,来 实现 EFT 固件 中 要 求 的 兼容 性 支持 模块 
(Compatibility Support Module, CSM)", 以 完成 EFI 固件 对 要 求 使 用 传统 固件 
BIOS 功能 和 接口 的 日 有 操作 系统 的 兼容 支持 。 


2.2.3 我 国 计 算 机 固件 产品 研发 现状 


我 国信 息 技 术 产 业 在 计算 机 固件 领域 长 期 以 来 处 于 空白 局 面 。 联 想 、 方 正 \ 长 
城 ,浪潮 等 国内 计算 机 或 主板 大 厂商 ,其 计算 机 或 主板 上 固件 BIOS 都 需要 向 专业 固 
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件 BIOS 厂商 取得 授权 ,并 请 固件 BIOS 厂商 作 必 要 的 技术 协助 ,针对 计算 机 硬件 平 
台 特 性 作 必要 的 修改 和 移植 工作 。 

固件 BIOS 作为 信息 产业 链 的 一 个 重要 环节 ,其 核心 技术 一 直 由 我 国 台湾 地 区 
和 美国 少数 几 个 企业 垄断 ,这 不 仅 影 响 我 国 建立 完整 的 产业 链 , 对 国家 信息 安全 来 
讲 也 是 一 个 不 可 忽视 的 隐患 。 国 内 一 直 在 试图 寻求 国产 自主 固件 BIOS 产品 和 技 
术 突 破 , 开 源 BIOS 项 目 为 这 种 突破 提供 了 机 会 ,而 Intel 公司 新 一 代 EFI 固件 技术 
推动 了 固件 产业 界 的 重新 洗 牌 ,整合 和 利益 分 配 ,是 我 国企 业 切 入 固件 市 场 千 载 难 
连 的 机 遇 。2005 年 ,在 信息 产业 部 ( 现 工业 和 信息 化 部 ) 参 与 和 支持 下 ,由 Intel 公 
司 提供 核心 技术 ,在 国内 扶植 一 到 两 家 新 一 代 固 件 厂 商 。 与 此 同时 ,信息 产业 部 通 
过 电子 产业 发 展 基金 支持 ,启动 “新 一 代 安 全 BIOS 的 研制 和 产业 化 “高 安全 与 可 
管理 BIOS” 等 项 目 ,开展 自主 研发 适合 我 国 国情 的 计算 机 固件 产品 和 技术 的 研究 
工作 。 


2.3 固件 开发 基础 技术 与 规范 


固件 技术 同 处 理 器 ,芯片 组 ,主板 等 硬件 技术 密切 相关 ,又 由 于 多 年 的 传递 和 继 
承 , 其 向 前 兼容 性 要 求 较 多 ,而且 由 于 固件 处 于 硬件 和 操作 系统 软件 的 中 间 层 ,因而 
需要 遵守 许多 软 硬 件 接口 的 规范 。 因 此 ,固件 的 开发 是 一 项 琐碎 麻烦 的 工作 。 本 节 
关注 于 传统 固件 BIOS 开发 的 硬件 以 及 相关 兼容 性 、 规 范 性 技术 介绍 ,特别 是 同 固件 
安全 技术 分 析 和 开发 息息相关 的 那些 固件 技术 环节 。 同 时 ,也 对 UEFI 固件 的 相关 
规范 和 技术 环节 作 了 概括 的 介绍 。 至 于 详细 的 固件 开发 技术 ,传统 固件 推荐 读者 研 
读 参考 文献 [1], 而 UEFI 固件 则 需要 耐心 研读 UEFI 官方 网 站 提供 的 资料 ,不 作为 
本 书 研究 介绍 的 重点 。 而 至 于 传统 固件 框架 性 结构 则 是 各 个 固件 BIOS 厂商 各 不 相 
同 , 可 以 自 定 的 ,在 此 不 作 统 一 介绍 Je SERO BETTE ESL PEZ A BOR INE e 19-37 DELIS BE ABC 
述 。 这 些 基 础 技术 与 规范 对 本 书后 续 的 固件 安全 问题 的 研究 是 必 不 可 少 的 知识 
基础 。 
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2.3.1 硬件 体系 架构 


固件 的 开发 同 硬件 平台 密切 相关 ,开发 者 必须 对 固件 所 依赖 的 硬件 体系 结构 ,不 
同 平台 的 主板 结构 和 南北 桥 蕊 片 组 的 细微 区 别 有 清 楚 的 了 解 ,才能 使 固件 对 所 依赖 
的 硬件 平台 能 有 全 面 准确 的 支持 。 

以 本 书 在 EFI 固件 研究 实验 中 所 使 用 的 Intel D945gnt 主板 为 例 ,CPU 使 用 
LGA775 socket 的 Pentium 4 芯片 ,北桥 芯片 CNorth Bridge) 采 用 Intel 82945G 芯片 
2] 9 , 南 桥 芯片 (South Bridge) RHH Intel 82801G 45)T 809, WA 2. 1 所 示 是 Intel 
945G 南北 桥 芯 片 组 结构 示意 图 外。 由 图 可 以 看 出 ,北桥 芯片 负责 内 存 、 显 卡 、.CPU 
之 间 的 集成 或 连接 ,而 南 桥 芯片 负责 PCI、IDE、USB、SATA 存储 设备 以 及 键盘 、 鼠 
标 、 网 卡 等 外 围 接口 的 集成 或 连接 处 理 。 存 储 固件 的 芯片 通过 SPICerial Peripheral 
Interface) 接 口 或 LPC(Low Pin Count) 接 口 连接 在 南 桥 芯片 上 。 

本 书 研发 实验 工作 中 所 使 用 的 主板 Intel D945gnt, 其 BIOS flash 是 通过 SPI 接 
口 连接 在 南 桥 芯片 ICH7 上 。 另 外 ,该 款 主板 预 留 有 可 信 平 台 模块 TPM (Trusted 
Platform Module) 插 槽 ,通过 LPC 同 ICH7 相连 。 可 信和 平台 模块 TPM 能 够 为 加 密 和 
数字 签名 密 钥 提供 基于 硬件 的 保护 。 如 图 2. 2 所 示 为 Intel D945gnt 主板 的 功能 性 结 
构 示意 图 "9]。 

在 固件 设计 开发 中 , 同 硬件 体系 结构 密切 相关 的 、 至 关 重 要 的 前 期 初始 化 主要 包 
括 三 部 分 : 中 央 处 理 器 CPU 初始 化 ` 内 存 初 始 化 系统 芯片 组 初始 化 。 其 他 外 围 控 
制 器 的 初始 化 工作 则 可 以 在 后 续 运 行 过 程 中 根据 需要 逐一 进行 操作 。 下 面 就 这 三 部 
分 初始 化 工作 的 关键 点 作 部 分 曾 述 。 


1. 中 央 处 理 器 CPU MB OO 


IA32 处 理 器 可 以 工作 于 3 种 模式 : 实地 址 模式 (Real-address)、 保 护 模 式 
(Protected) 以 及 虚拟 8086 模式 (Virtual 8086) 。 实 地 址 模式 提供 了 Intel 8086 处 理 
器 的 运行 环境 ,虚拟 8086 模式 可 让 处 理 器 在 保护 模式 下 可 运行 8086 模式 软件 及 多 


h 
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图 2.2 Intel D945gnt 主板 功能 性 结构 示意 图 
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任务 环境 ,保护 模式 则 是 32 位 处 理 器 本 身 的 操作 模式 ,在 这 种 模式 下 ,所 有 的 指令 和 
特定 结构 能 发 挥 最 高 的 性 能 和 兼容 性 。 

IA32 系列 处 理 器 加 电 后 都 自动 运行 于 实地 址 模式 下 。 第 一 代 和 第 二 代 固 件 
BIOS 产品 ,在 固件 BIOS 获取 系统 控制 权 后 ,保持 处 理 器 一 直 运行 在 实地 址 模式 下 ， 
直到 操作 系统 加 载 后 ,由 操作 系统 将 处 理 器 转换 到 保护 模式 下 运行 。 即 第 一 代 和 第 
二 代 固 件 BIOS ,不 管 处 理 器 类 型 如 何 , 其 所 有 代码 都 运行 在 16 位 的 实地 址 模式 下 ， 
没有 能 够 随 着 处 理 器 的 升级 换代 而 采用 高 效 安全 的 保护 模式 。 第 三 代 EFI 固件 产品 
同 前 两 代 传统 固件 产品 相 比 较 , 一 个 突出 的 要 求 就 是 在 处 理 器 加 电 运 行 后 ,尽量 早 地 
将 处 理 器 从 实 模式 转换 到 保护 模式 ,使 得 绝 大 部 分 固件 代码 可 以 运行 在 高 效 安 全 的 
保护 模式 下 ,充分 发 挥 中 央 处 理 器 的 性 能 。 

固件 对 中 央 处 理 器 CPU 的 初始 化 ,往往 还 包括 MP(Multi-Processor, 多 处 理 器 ) 
特性 .HT(Hyper-Thread, 超 线程 ) 特 性 以 及 CPU 一 级 缓存 (LI1 Cache) 和 二 级 缓存 
(L2 Cache) 的 处 理 。 


2. AMR 


固件 代码 对 CPU 初始 化 完成 后 , 接 下 来 需要 对 系统 内 存 进行 初始 化 ,使 得 系统 
有 可 用 的 RAM 内 存 。DRAM 构造 复杂 ,要 正常 运行 需要 进行 相当 繁琐 的 参数 设置 。 

DRAM 主要 相关 参数 如 下 。 

(1) RAS-to-CAS Delay: DRAM 中 RAS 到 CAS 延迟 时 间 , 设 定 不 当 可 能 会 造 
成 内 存 存 取 错误 。 所 谓 RAS(Row-access strobe, 行 地 址 触发 ) 是 内 存 寻 址 的 前 段 动 
作 ,而 CASCColumn-access strobe, 列 地 址 触发 ) 则 是 后 段 部 分 。 由 于 总 线 复 用 的 缘 
故 ,所 以 在 RAS 寻 址 或 CAS 寻 址 时 需要 进行 解码 和 锁定 。 但 是 在 行 解 码 之 时 ,由 于 
解码 与 锁定 两 个 动作 必须 花 去 一 部 分 时 间 , 如 果 中 间 完 全 没有 延迟 就 开始 列 解码 动 
作 , 那 么 可 能 会 由 于 动作 的 延迟 导致 存 取 错误 以 致死 机 ,所 以 需要 进行 RAS 与 CAS 
之 间 延 迟 时 间 的 设 定 。 

(2) RAS Precharge Time: 代表 当 RAS( 行 地 址 触发 ) 在 DRAM 做 重 置 动作 之 前 
所 预 留 的 充电 时 间 ,一 般 设 定 为 2ns 或 3ns。 预 充电 时 间 如 果 不 足 ,可 能 造成 内 存 无 
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法 正确 重 置 而 导致 数据 丢失 。 因 为 DRAM 在 设计 上 是 采用 刷新 电容 方式 存储 数据 ， 
电容 中 电量 会 随时 间 流 失 而 不 断 削减 甚至 消失 ,从 而 造成 数据 流失 。 为 了 维持 高 效 
又 避免 数据 流失 ,因此 动态 内 存 必须 不 断 进 行 充电 ,以 维持 其 中 的 数据 。 

(3) CAS Latency Time: DRAM 读 取 或 写 入 动作 的 CAS 触发 信号 前 的 延迟 
时 间 。 

(4) DRAM Data Integrity Mode: 一 部 分 DRAM 支持 ECC(Error Checking and 
Correction) 功 能 。 大 多 数 内 存 并 不 支持 ECC 校 验 。 

(5) Host/DRAM Frequency: DRAM 运行 频率 ,如 设置 为 66MHz。 

(6) DRAM Row Boundary Registers: 简称 DRB 寄存 器 ,用 于 计算 RAM 大 小 。 
共有 8 个 寄存 器 ,各 寄存 器 中 数据 以 SMB 为 单位 ,分 别 读 取 之 ,并 按 如 下 方式 进行 
计算 : 

DRBO = Total memory in row0(in 8MB) 

DRB1 = Total memory in row0+rowl (in 8MB) 

DRB2 = Total memory in row0+rowl+row2(in 8MB) 

DRB3 = Total memory in row0-- rowl-- row2-- row3(in 8MB) 

DRB4 = Total memory in row0--rowl-- row2-- row3-- row4C(in 8MB) 


DRB5 


Total memory in row0 十 row1 十 row2 十 row3 十 row4 十 row5(in 8MB) 

DRB6 = Total memory in row0 + rowl + row2 + row3 + row4 + row5 + row6 
Gn 8MB) 

DRB7 = Total memory in row0 + rowl + row2 + row3 + row4 + row5 + row6 + 
row7(in 8MB) 
这 样 即 可 获知 DRAM 内 存 的 容量 大 小 。 

那么 固件 要 进行 设置 的 这 些 参 数 的 正确 数据 从 何 而 来 ? 它们 都 被 存储 在 内 存 条 
正面 右 侧 的 一 个 8 针 的 256 字 节 的 EEPROM 芯片 里 。 这 个 芯片 被 称 为 SPD(Serial 
Presence Detect, 串 行 存在 探测 ) ,里 面 记录 着 内 存 的 速度 .容量 .电压 与 行 , 列 地 址 带 
宽 等 参数 信息 。 初 始 化 内 存 复杂 的 地 方 就 在 于 进行 DRAM 设置 前 ,必须 要 通过 SPD 
来 获取 相关 的 信息 ,然后 按照 其 中 的 数据 对 DRAM 控制 器 进行 参数 设置 。 而 读 取 
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SPD, 则 是 通过 南 桥 上 的 SMBUS 总 线 来 进行 。 不 同 芯 片 组 和 内 存 的 组 合 ,其 设置 需 
要 开发 者 细 读 相关 厂家 的 Data Sheet 来 了 解 。 


3. 系统 芯片 组 初始 化 5 


早期 主板 上 ,各 种 组 件 之 间 的 连接 与 协调 电路 极为 复杂 , 动 辑 使 用 到 上 百 块 各 类 
型 的 IC .电容 ,不 但 占用 主板 面积 ,也 造成 了 除 错 上 的 麻烦 与 无 谓 的 成 本 。 随 着 半 导 
体 科技 的 进步 ,主板 上 的 许多 线路 ,已 使 用 几 个 大 型 IC 芯片 来 取代 ,可 以 简化 设计 与 
除 错时 间 \ 减 少 成 本 ,这些 专攻 主板 简化 设计 的 芯片 ,就 称 为 系统 芯片 组 记 。 一 般 主 
板 上 会 有 几 个 大 型 的 芯片 ,每 一 个 芯片 有 着 特定 的 功能 ,这 其 中 最 重要 的 就 是 南北 桥 
芯片 组 。 以 Intel D945gnt 主板 为 例 , 离 CPU 最 近 的 芯片 是 Intel 82945G 芯片 , 称 之 
为 北桥 芯片 (North bridge) ,主要 负责 内 存 和 显示 控制 ; 另 一 个 是 Intel 82801G 芯片 ， 
称 之 为 南 桥 芯片 (South bridge) ,主要 负责 外 围 的 输入 /输出 控制 。 

系统 芯片 组 初始 化 是 极其 复杂 的 一 项 工作 ,往往 需要 芯片 组 厂商 提供 详细 的 
Data Sheet 甚至 初始 化 代码 来 完成 。 芯 片 组 厂商 对 于 新 系统 芯片 组 的 这 部 分 资料 往 
往 要 作为 商业 秘密 ,只 在 密切 相关 的 小 范围 内 授权 公开 ,这 也 是 造成 30 年 来 固件 
BIOS 技术 高 度 垄 断 的 一 个 重要 原因 。 


2.3.2 总 线 接 口 规范 


任何 一 个 微 处 理 器 都 要 与 一 定数 量 的 部 件 和 外 围 设备 连接 ,但 如 果 将 各 部 件 和 
每 一 种 外 围 设备 都 分 别 用 一 组 线路 与 CPU 直接 连接 ,那么 连 线 将 会 错综复杂 ,甚至 
难以 实现 。 为 了 简化 硬件 电路 设计 、 简 化 系统 结构 ,常用 一 组 线路 ,配置 以 适当 的 接 
口 电路 ,与 各 部 件 和 外 围 设备 连接 ,这 组 共用 的 连接 线路 被 称 为 总 线 。 采 用 总 线 结构 
便于 部 件 和 设备 的 扩充 ,尤其 制定 了 统一 的 总 线 标准 使 不 同 设备 间 容 易 实 现 互 连 。 

微机 中 总 线 一 般 有 内 部 总 线 、 系 统 总 线 和 外 部 总 线 。 内 部 总 线 是 微机 内 部 各 外 
围 芯 片 与 处 理 器 之 间 的 总 线 , 用 于 芯片 一 级 的 互 连 ; 系统 总 线 是 微机 中 各 插件 板 与 
系统 板 之 间 的 总 线 , 用 于 插件 板 一 级 的 互 连 ; 外 部 总 线 则 是 微机 和 外 部 设备 之 间 的 
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总 线 , 它 用 于 设备 一 级 的 互 连 。 

计算 机 固件 要 通过 这 些 总 线 发 现 和 访问 主板 上 连接 的 芯片 和 设备 ,对 这 些 芯 
或 设备 的 控制 器 (Controller) 进行 配置 ,并 负责 把 设备 初始 化 配置 .数据 结构 .驱动 
ROM 等 信息 传递 给 操作 系统 。 固 件 开发 者 必须 清楚 如 何 操控 这 些 总 线 去 完成 芯片 
和 设备 的 发 现 和 初始 化 工作 。 本 节 对 同 计算 机 固件 开发 密切 相关 的 几 种 总 线 作 一 简 
单 介绍 。 


1. LPC 总 线 


LPC(Low Pin Count) 总线 是 Intel 公司 于 1997 年 公布 的 一 个 取代 传统 ISA 总 
线 的 一 种 新 接口 规范 。Intel 所 定义 的 LPC 接口 ,将 ISA 总 线 的 地 址 /数据 分 开 译 码 
改 成 类 似 PCI 的 地 址 /数据 线 共享 的 译 码 方式 ,信号 线 数量 大 幅 降低 ,工作 速率 由 
LPC 总 线 速率 同步 驱动 。 改 造 后 的 LPC 一 样 维持 同 ISA 相同 的 16MB/s 的 最 大 传 
输 值 ,但 所 需要 的 信号 线 大 幅 降低 至 25 一 30 条 。 采 用 LPC 总 线 接口 的 芯片 管 脚 数 
和 体积 都 能 够 大 幅度 缩减 ,主板 的 设计 也 可 以 简化 。 主 板 上 的 Super 1/0 i) Flash 
ROM 芯片 以 及 TPM 芯片 通常 通过 LPC 总 线 同 南 桥 芯片 相连 接 。 


2. SMBUS 总 线 


SMBUS( 系 统管 理 总 线 ) 是 系统 组 件 管理 总 线 , 该 总 线 接口 拥有 两 组 信号 线 , 属 
于 低速 率 (80 一 400kHz) 接 口供 符合 SMBUS 协议 的 外 围 组 件 检测 、 定 位 、 读 写 参 数 
等 设置 使 用 。 一 般 主 板 由 南 桥 芯 片 内 置 SMBUS 控制 器 (SMBUS Controller) ,可 通 
过 它 来 检测 DRAM 插 了 几 排 ,并 自动 抓 取 该 排 DRAM 时 序 参数 ,以 及 读 取 硬件 监控 
芯片 参数 来 控制 CPU 主板 工作 温度 .工作 电压 风扇 转速 等 。 前 面 提 到 关于 DRAM 
控制 器 的 设置 就 是 通过 SMBUS 总 线 读 取 SPD 中 内 容 来 进行 的 。 


3. ATA 总 线 


ATA( Advanced Technology Atachment) 接口 标准 最 初 是 在 1986 年 由 
COMPAQ 和 Western Digital 两 家 公司 共同 开发 的 ,是 专用 于 硬盘 的 接口 总 线 标准 。 
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在 ATA 接口 标准 的 整个 发 展 过 程 中 ,可 以 划分 为 7 个 不 同 的 版 本 。 

ATA-1: 第 一 代 的 ATA 标准 , 即 IDE (Integrated Drive Electronics) 标准 。 
ATA-1 只 支持 PIO-0(Programmed IO) , PIO-1 和 PIO-2 模式 ,其 数据 传输 速度 只 有 
3. 3MB/s, 根 据 其 技术 标准 ,硬盘 容量 限制 在 504MB 之 内 。 

ATA-2: 也 就 是 常 说 的 EIDE(Enhanced IDE) 或 Fast ATA, 它 在 ATA 的 基础 上 
增加 了 PIO-3 模式 ,不 仅 将 硬盘 的 最 高 传输 率 提高 到 16.6MB/s, 还 同时 引进 LBA 地 
址 转换 方式 ,突破 了 固有 的 504 MB 的 限制 ,可 以 支持 最 高 达 8. 4GB 的 硬盘 。 

ATA-3: ATA-3 并 没有 提高 IDE 接口 的 工作 速度 ,最 高 传输 速度 仍 为 16. 6MB/ 
s( 支 持 PIO-3) ,但 引入 了 密码 保护 机 制 ,对 电源 管理 方案 进行 了 修改 ,引入 了 S. M. 
A. R. TCSelf-Monitoring Analysis and Reporting Technology ,硬盘 自 监 测 、 自 分 析 和 
报告 技术 )。 

ATA-4: 自 这 一 版 本 开始 ,硬盘 开始 支持 DMA 技术 ,所 以 又 称 之 为 Ultra ATA/ 
33。 硬 盘 控 制 器 采用 总 线 主 控 方式 进行 数据 传输 , 它 将 PIO 下 的 最 大 数据 传输 率 提 
高 了 一 倍 , 达 到 33MB/s, 也 称 为 PIO-4。 

ATA-5: 这 一 版 本 就 是 市 面 上 标注 为 Ultra ATA/66 的 硬盘 ,不 仅 将 接口 通道 的 
数据 交换 速度 提高 了 一 倍 ,同时 也 继承 了 上 一 代 Ultra ATA/33 的 核心 技术 一 一 宛 
余 校 验 技术 (CRC)。 

ATA-6: 这 就 是 市 面 上 标注 为 Ultra ATA/100 的 硬盘 接口 标准 。 这 一 标准 主 
要 是 提高 了 硬盘 数据 的 传输 速率 ,从 原来 ATA-5 标准 中 的 66MB/s 提高 到 
100MB/s, 

ATA-7; 较 新 的 硬盘 接口 标准 ,传输 速率 达到 了 133MB/s. 

上 述 ATA-1 到 ATA-7 均 是 采用 并 行 数据 传输 方式 的 总 线 接口 标准 ,通常 也 称 
为 PATA(Parallel ATA) 总 线 接口 。 最 新 一 代 的 硬盘 接口 总 线 标准 SATA (Serial 
ATA) 采 用 串 行 方式 传输 数据 。SATA 是 一 种 完全 不 同 于 PATA 的 新 型 硬盘 接口 类 
型 ,与 PATA 相 比 ,SATA 具有 比较 大 的 优势 。 首 先 ,SATA 以 连续 串 行 的 方式 传送 
数据 ,可 以 在 较 少 的 位 宽 下 使 用 较 高 的 工作 频率 来 提高 数据 传输 的 带宽 。SATA 一 
次 只 会 传送 1 位 数据 ,这 样 能 减少 SATA 接口 的 针脚 数目 ,使 连接 电缆 数目 变 少 , 效 
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率 也 会 更 高 。 实 际 上 ,SATA 仅 用 四 支 针脚 就 能 完成 所 有 的 工作 ,分 别 用 于 连接 电 
缆 、 连 接地 线 ,发 送 数据 和 接收 数据 ,同时 这 样 的 架构 还 能 降低 系统 能 耗 和 减 小 系统 
复杂 性 。 其 次 ,SATA 的 起 点 更 高 .发展 潜力 更 大 ,SATA 1. 0 定义 的 数据 传输 率 可 
达 150MB/s, 这 比 目 前 最 快 的 PATA( 即 ATA/133) 所 能 达到 的 最 高 数据 传输 率 
133MB/s 还 高 ,而 目前 SATA 本 的 数据 传输 率 则 已 经 高 达 300MB/s。 

固件 需要 按照 ATA 标准 对 硬盘 进行 配置 操作 ,发 送 和 接收 命令 /数据 /响应 ,以 
便 读 取 硬盘 数据 ,引导 操作 系统 。 


4. USB 总 线 


USB(Universal Serial Bus) 总 线 提供 中 低速 率 外 围 设备 的 扩充 能 力 , 这 些 设备 包 
括 USB 键盘 、 鼠 标 ,移动 存储 卡 ,移动 flash 盘 等 。USB 接口 允许 真正 的 热 插 拔 操作 ， 
达到 即 插 即 用 的 理想 效果 。USB v1. 1 提供 最 大 1. 5MB/s 的 传输 速率 ,而 USB v2.0 
传输 速率 则 达到 60MB/s。 

由 于 USB 驱动 方式 比较 复杂 ,一 般 USB 设备 都 需要 进入 操作 系统 下 ,加 载 适 当 
的 驱动 程序 来 驱动 ,或 由 操作 系统 提供 统一 兼容 的 驱动 ,而 在 固件 BIOS 运行 阶段 一 
般 不 支持 USB 设备 的 操作 。 但 随 着 USB 键盘 、 鼠 标 、 硬 盘 、 光 驱 的 越 来 越 广泛 的 使 
用 ,在 固件 BIOS 中 提供 对 USB 的 支持 ,尤其 是 USB 键盘 、 鼠 标的 支持 已 不 可 避免 。 
Phoenix 公司 等 传统 固件 BIOS 厂商 已 经 在 其 最 新 的 BIOS 产品 中 提供 了 对 USB 键 
盘 、 鼠 标 、 光 驱 、 硬 盘 、U 盘 的 驱动 和 读 写 支 持 ,EFI/UEFTI 固件 规范 更 是 将 对 USB 的 
驱动 和 支持 以 标准 协议 (Protocol) 的 形式 写 入 规范 中 。 


5. PCI 总 线 


PCICPeripheral Component Interconnect) 是 一 种 先进 的 第 二 代 局 部 总 线 , 用 来 蔡 
换 原 有 的 低速 的 第 一 代 ISA (Industry Standard Architecture)、EISA (Extended 
ISA) .VESA( Video Electronics Standards Association) 总线 。PCI 总 线 目 前 已 经 成 
为 使 用 最 多 最 广泛 的 计算 机 标准 总 线 。32 位 的 PCI 33MHz 和 PCI66MHz 总 线 峰值 
带宽 分 别 为 133MB/s 和 266MB/s, 而 改良 的 32 位 PCI-X 533MHz 峰值 带宽 达 
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213MB/s。 最 新 的 第 三 代 高 性 能 总 线 PCI Express 单 通道 x1 的 总 带宽 达到 512MB/s， 
而 随 通道 数 的 翻 倍 ,其 总 带宽 也 迅速 翻 倍 ,xl16 的 总 带宽 则 达到 8GB/s。 

无 论 是 传统 固件 BIOS 还 是 新 一 代 的 EFI 固件 ,对 PCI 总 线 的 处 理 都 是 一 项 重 
要 的 工作 。 固 件 工程 师 需要 熟悉 PCI 的 规范 ,清楚 了 解 PCI 的 配置 空间 和 工作 原理 ， 
正确 处 理 PCI 设 备 上 可 能 附加 的 PCI ROM 固件 ,才能 让 固件 BIOS 正确 配置 驱动 连 
接 在 PCI 总 线 上 的 各 种 设备 。 

固件 中 对 PCI 总 线 的 处 理 包 含 两 部 分 重要 工作 : 

(1) PCI 总 线 配 置 

驻 留 在 PCI 总 线 上 的 设备 包含 一 种 或 多 种 功能 (包含 多 种 功能 的 设备 称 为 多 功 
能 设备 ) 。 一 台 设 备 最 多 可 能 包含 8 种 功能 ,编号 为 0 一 7。 每 种 功能 各 自负 责 实现 它 
的 一 组 配置 寄存 器 ,通过 访问 这 些 寄 存 器 可 以 发 现 某 种 功能 是 否 存在 ,以 及 对 它 进行 
配置 ,以 便 进行 正常 的 操作 。 除 了 内 存 `.IVO 和 消息 空间 外 ,PCI Express 还 定义 有 一 
块 专用 的 配置 空间 ,该 配置 空间 要 分 配给 每 一 种 功能 ,以 便 实 现 它 的 配置 寄存 器 。 关 
于 PCI 配 置 空间 的 详细 描述 参见 PCT 规范 文档 多 。 

固件 中 对 PCI 的 配置 可 以 采用 两 种 不 同 的 配置 机 制 : PCI 兼 容 配置 机 制 和 PCI 
Express 增强 配置 机 制 。 

PCI 兼容 配置 机 制 通过 32 位 1/O 端口 0CF8h(Configuration Address Port) 和 
OCFCh(Configuration Data Port) 访 问 PCI Ae zr Be 9t 2r (2380? 。 访 问 步骤 为 : 将 目 
标 总 线 号 (bus number) ,设备 号 (device number) ,功能 号 (function number) 及 双 字 数 
(dword number) 写 人 配置 地 址 端口 0CF8h, 并 将 其 中 的 允许 位 设置 成 1, 然后 按 字 
节 、 字 或 双 字 方 式 从 配置 数据 端口 读 取 或 写 入 配置 寄存 器 数据 。 

图 2. 3 显示 了 配置 地 址 端口 地 址 内 容 的 格式 。 

PCI Express 增强 配置 机 制 为 每 种 PCI 功能 的 4KB 配置 空间 在 256MB 基 址 对 
齐 的 存储 空间 中 都 有 一 个 相对 应 的 起 始 地 址 ,从 这 个 地 址 开始 连续 4KB 的 区 域 将 被 
用 作 配 置 空间 。 通 过 对 这 部 分 内 存 空 间 的 直接 访问 实现 对 PCI Express 配置 寄存 器 
进行 操作 ,这 种 方式 也 称 内 存 映射 的 T/O 读 写 (Memory-mapped I/O R/W)。 表 2.2 
给 出 增强 配置 机 制 存储 器 映射 的 L/O 地 址 格式 。 
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OCFBh OCFAh OCF9h OCF8h 
31 30 24 23 16 15 11 10 87 21 


Bus Device Function 
Number Number Number 


Should always be zeros EE 
Enable Configuration Space Mapping 


I-enabled 


Reserved 


Doubleword 00 


2.3 地 址 OCF8h 上 的 PCI 配置 地 址 端口 


表 2.2 增强 配置 机 制 存储 器 映射 的 MO 地 址 格式 


存储 器 地 址 的 bit 位 说 明 
A[63:28] 256MB 对 齐 的 基 址 高 位 比特 ,由 固件 BIOS 根据 可 用 内 存 空 间 分 配 
A[27:20] 目标 总 线 号 (256 个 中 的 一 个 ) 
A[19:15] 目标 设备 号 (32 个 中 的 一 个 ) 
A[14:12] 目标 功能 号 (8 个 中 的 一 个 ) 
A[11:2] 目标 双 字号 (1024 个 双 字 中 的 一 个 ) 
A[1:0] 定义 所 选 双 字 的 起 始 字 节 的 位 置 


(2) PCI 总 线 枚 举 

PCI 配 置 需要 知道 配置 寄存 器 的 总 线 号 和 设备 号 。 在 系统 加 电 时 ,固件 仅仅 知 
道 总 线 0 的 存在 ( 即 驻 留 在 主机 /PCI 桥 下 游 一 侧 的 总 线 ) ,但 对 于 总 线 0 上 存在 着 什 
么 样 的 设备 毫 不 知晓 ,如 图 2.4 所 示 c9 。 固 件 需 要 对 总 线 0 进行 扫描 ,发 现 不 同 总 线 
及 其 上 的 设备 和 功能 , 找 出 PCI 总 线 拓扑 结构 ,这 个 过 程 称 为 枚 举 (Enumeration)。 

PCI 总 线 枚 举 过 程 中 ,采用 深度 优先 搜索 算法 ,通过 读 取 各 台 设备 中 功能 0 的 厂 
RI ID 的 返回 值 判断 设备 是 否 存 在 (0ffffh 代表 无 效 设备 ) ,而 通过 读 取 头 类 型 寄存 器 
中 的 数值 判断 设备 是 单 功 能 还 是 多 功能 设备 ,是 端点 设备 还 是 桥 设备 ,从 而 完成 对 总 
线 0 上 挂 载 的 其 他 主 总 线 、 二 级 总 线 和 设备 进行 标记 ,建立 设备 列表 。 图 2. 5 所 示 为 
ARBOR IG ERO 。 
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Initially, only Bus 0 in the 
Root Complex has a bus 

CPU number assigned, The 
remaining buses have yet 
to be discovered and numbered 


Root Complex 
Y 
Bus 0 Host/PCI 
N Bridge 
Virtual] Device 0 Device 1 [Virtual 
P2P P2P 
[ 
Virtual Virtual 
pop P2P 
Virtual Virtual | | Virtual 
P2P P2P. P2P. 
LÁ 
Function 0 Function 1 Function 0 Function 0| Function 0| 
L7 
Express 
PCI 
Bridge 
PCI Bus 
| 1 
PCI PCI PCI 
Device Device Device 


图 2.4 PCI 总 线 枚 举 前 的 系统 
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CPU 
Root Complex 
1 
Bus 0 Host/PCI 
Bridge 
^ Virtual] Device 0 Device 1 [Virtual " 
P2P. P2P 
Bus | Bus | Bus 5 Bus 5 
Device 0 | Device 0 
c F yan 
Bus 2 TBus6 
i 1 G , ue 
Virtual Virtual) | Virtual] | Virtual 
P2P PP jHL P2P Ji P2P JJ 
I I I I I 
J I TT J 
Bus 3 
zr Bus4 Bus 7 Bus 8 Bus 10 
[——] 
Function 0 Function 1 Function 0 Function 0) Function 0| Bus 10 
s 
Device 0 
Bus 3 Device 0 Bus4 Bus 7 
Device 0 Device 0 ——{—, 
Express 
J PCI Bus 8 
Bridge || Device 0 
PCI Bus Bus 9 
td 
PCI PCI PCI 
Device Device Device 


图 2.5 PCI 总 线 枚 举 后 的 系统 


38. 计算 机 固件 安全 技术 


2.3.3 固件 相关 管理 接口 规范 


在 计算 机 传统 固件 BIOS 发 展 过 程 中 ,其 中 涉及 一 些 规范 是 需要 硬件 厂商 、 固 件 
BIOS 厂商 以 及 操作 系统 厂商 通力 合作 ,在 各 自 的 产品 中 都 能 够 遵循 同一 个 规范 ,使 
得 硬件 .固件 和 操作 系统 能 够 协同 一 体 工作 完成 某 些 功能 要 求 。 其 中 典型 的 规范 包 
括 : 高 级 电源 管理 APM 规范 、 即 插 即 用 PnP 规范 .系统 管理 SMBIOS 规范 、 高 级 配 
置 与 电源 管理 接口 ACPI 规范 。 其 中 的 一 些 规范 目前 已 经 被 更 新 更 好 的 规范 所 代 
蔡 , 只 在 少数 情况 下 需要 保留 对 旧 的 规范 的 兼容 支持 ,如 APM 规范 目前 基本 被 
ACPI 取 代 , 而 PnP 的 规范 则 部 分 被 包含 在 ACPI 中 。 作 为 硬件 和 操作 系统 之 间 的 联 
系 纽带 ,固件 产品 的 开发 中 重要 的 一 部 分 就 是 遵循 和 实现 这 些 规范 。 而 其 中 PnP 规 
范 和 ACPI 规 范 ,由 于 其 作为 固件 同 操作 系统 交互 的 接口 作用 ,更 是 同 固件 安全 技术 
紧密 相关 。 


1. ACPI 规范 "9 


ACPICAdvanced Configuration and Power Interface)1. 0 在 1996 年 年 底 发 布 ,用 
来 取代 原 有 的 APM(Advanced Power Management) 规 范 ,但 是 直到 2000 年 发 布 了 
ACPI 2. 0, 这 个 规范 才 得 到 广泛 的 部 署 。 

ACPI 规 范 是 一 个 复杂 的 标准 ,其 实现 需要 硬件 .固件 .操作 系统 的 各 层 协 作 。 计 
算 机 固件 产品 必须 能 够 产生 各 种 ACPI Table, 并 且 向 操作 系统 报告 ACPI Table 的 
内 存 占用 情况 。 而 各 种 外 围 设备 ,控制 器 (如 软盘 、 硬 盘 、 光 驱 、 网 卡 等 ) 则 需要 随时 将 
自身 的 电源 使 用 及 开关 状态 记录 在 ACPI 寄存 器 中 ,主板 中 的 传感器 也 会 随时 将 各 
芯片 的 最 新 电压 、 温 度 等 参数 通过 ACPI 表格 和 SMBus 总 线 回 传 给 操作 系统 。 固 件 
还 要 为 系统 在 各 种 不 同 状态 下 的 启动 设计 和 选择 正确 的 路 径 。 图 2.6 显示 了 ACPI 
体系 结构 。 

ACPI 针 对 CPU、 各 种 不 同 外 围 设备 等 分 别 定义 了 多 种 电源 状态 ,规定 了 各 种 电 
源 状 态 的 切换 模式 ,如 图 2.7 所 示 。 如 CPU 的 电源 使 用 模式 ,从 轻微 省 电 的 S1、S2， 


第 2 章 计算 机 固件 的 发 展 与 技术 基础 3? 


OS 
Dependent 
Application 
APIs 


Applications 


OSPM System Code 


OS Specific 
technologies, 
interfaces, and code. 


ACPI Driver 
AML Interpreter 


| ACPI ACPI Table OS 
F rn Independent 
Register Interface * 
Interface technologies, 
nterface H s 
interfaces, 
ACPI BIOS code, and 
tet Interface hardware. 
Existing 
industry 
standard 
register 
interfaces to: 
CMOS, PIC, 
PITs, ... - 


Platform Hardware -——-| BIOS 


ACPI Spec Covers this area. 
OS specific technology, not part of ACPI. 


Hardware/Platform specific technology, not part of ACPI. 


图 2.6 ACPI 体系 结构 


到 了 S3 已 经 是 Suspend to RAM 模式 .S4 则 是 Suspend to DISK 模式 ,S5 就 是 真正 
的 关闭 电源 。 

对 于 固件 开发 者 来 讲 , 重 要 的 是 建立 各 种 ACPI 表格 ,根据 平台 特性 收集 并 填写 
周边 设备 的 ACPI 信息 ; 了 解 主板 布线 结构 ,设计 必要 的 ASLCACPI Source Control 
Language) 语 言 代 码 等 。ASL 代码 可 由 微软 提供 的 ASL 编译 器 编译 生成 AML 
CACPI Machine Control Language) 目标 代码 ,存储 在 固件 产品 运行 时 构造 的 ACPI 
Table 中 。 
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固件 对 ACPI 的 支持 是 一 项 琐碎 、 高 技术 、 高 难度 的 工程 ,通常 固件 厂商 都 要 培 
养 自 己 专 业 的 ACPI 工程 师 , 来 针对 各 种 不 同 硬件 平台 完成 固件 中 的 ACPI 支持 
部 分 。 
Power 


Failure/ 
Power Off 


Legacy 
Boot 


(SCL EN-0) (SCI EN-1) 
S4BIOS_F | Bios 
S4BIOS_REQ Routine 
ACPL ENABLE 
(SCL EN-1) LP_TYPx=(S1-S4) 
=> 
LI. ACPI DISABLE ND si 
(SCL_ EN-0) 
G1- 
ACPI Sleeping 
Boot 


Legacy N= 
Boot (SCI_EN=1) 


(SCI_EN=0) SLP_TYPx=S5 
and SLP_EN or 
PWRBTN OR 


图 2.7 ACPI 电源 状态 模式 图 


2. SMBIOS551 


SMBIOS(System Management BIOS) 规 范 规定 了 在 x86 系统 架构 下 ,主板 和 系 
统制 造 商 如 何 通 过 固件 BIOS 扩展 接口 ,以 标准 格式 提供 产品 的 管理 信息 。 固 件 开 发 
者 必须 遵照 规范 ,收集 足够 多 的 平台 信息 ,提供 固件 扩展 接口 ,以 向 用 户 或 上 层 操作 
系统 提供 这 些 信息 。SMBIOS 规范 最 新 的 正式 版 本 是 2006 年 9 月 发 布 的 2.5 版 本 。 
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SMBIOS 信息 的 核心 是 一 个 SMBIOS 结构 表 。 该 表 存 在 于 0F0000h 到 
OFFFFFh 内 存 空间 中 ,以 对 齐 于 16 字 节 边界 的 ”SM_“ 标 识 该 表 。 表 内 容 由 表 头 和 
表 结 构 信 息 组 成 。 结 构 信 息 的 内 容 包含 最 多 128 类 的 信息 ,由 Type 0 到 Type 127, 

固件 运行 时 要 尽 可 能 多 地 收集 和 填写 规范 中 的 这 些 信 息 , 并 且 实现 SMBIOS 结 
构 信 息 访问 存 取 的 接口 函数 。 这 些 接口 函数 通常 用 于 操作 系统 向 固件 索取 这 些 系统 
信息 。 

针对 固件 的 安全 技术 ,通常 也 需要 获取 SMBIOS 中 的 这 些 关键 的 系统 信息 。 


2.8.4 固件 内 存 管理 与 资源 分 配 


传统 固件 BIOS 对 内 存 、.1/O 端口 IRQ(Interrupt ReQuest) , DMA 通道 .CMOS 
RAM 中断 向 量 表 (Interrupt Vector Table) , BIOS 数据 区 (BIOS Data Area, BDA), 
BIOS 扩展 数据 区 (Extended BIOS Data Area, EBDA) 等 资源 的 管理 分 配 ,由 于 沿用 
的 习惯 和 兼容 性 的 要 求 ,形成 了 固定 的 规划 D4' 锐 。 新 一 代 EFI 固件 的 设计 在 内 存 
使 用 上 没有 沿用 这 些 固定 规划 ,但 是 为 了 兼容 传统 的 非 EFI 规范 的 硬件 插 卡 的 使 用 
和 操作 系统 的 引导 ,必须 由 EFI 固件 厂商 另外 提供 一 个 称 为 兼容 性 支持 模块 
(Compatibility Support Module,CSMD55 的 产品 ,来 实现 对 传统 固件 BIOS 这 些 固定 
规划 的 兼容 支持 。 

了 解 这 些 内 存 规划 和 映射 区 域 结 构 及 其 内 容 分 配 , 通 过 使 用 不 层次 的 内 存 读 写 
技术 ,就 可 以 获取 系统 软 硬 件 的 关键 参数 资料 ,甚至 复制 内 存 映射 中 的 固件 关键 代码 
和 数据 区 域 , 这 对 实现 固件 的 安全 尤其 重要 ,而 这 也 成 为 恶意 者 攻击 固件 的 前 奏 
技术 。 


2.3.5 UEFI 固件 框架 和 规范 


可 扩展 固件 接口 (Extensible Firmware Interface, EFD Æ Intel 公司 为 全 新 类 型 
的 计算 机 固件 的 体系 结构 .接口 和 服务 提出 的 建议 标准 。 其 主要 目的 是 为 了 提供 一 


42 计算 机 固件 安全 技术 


组 在 操作 系统 加 载 之 前 (启动 前 ) 在 所 有 平台 上 一 致 的 .正确 指定 的 启动 服务 ,被 看 做 
是 有 近 20 多 年 历史 的 计算 机 固件 BIOS 的 继任 者 。 

UEFI 是 由 EFI 1. 10 为 基础 发 展 起 来 的 , 它 的 所 有 者 已 不 再 是 Intel 公司 ,而 是 
一 个 称 作 Unified EFI Forum 的 国际 组 织 , 贡 献 者 有 American Megatrends Inc. 、 
Apple Computer,Inc.、Dell Hewlett Packard, IBM, Insyde, Intel, Lenovo, Microsoft, 
Phoenix Technologies 等 几 个 大 公司 。UEFI 的 框架 和 规范 实现 代码 是 完全 开源 的 ， 
但 是 具体 的 硬件 平台 代码 还 是 需要 主板 厂商 跟 固件 厂商 一 起 做 一 些 定制 。 与 传统 固 
ft BIOS 相 比 ,最 大 的 几 个 区 别 在 于 : 

CD 编码 99% 都 是 由 C 语言 完成 。 

(2) 一 改 之 前 的 中 断 、 硬 件 端口 操作 的 方法 ,而 采用 了 Driver/protocol 的 新 
方式 ， 

(3) 不 再 支持 x86 实 模式 ,而 直接 采用 Flat mode( 也 就 是 不 能 用 DOS T ,现在 有 
些 EFI 或 UEFI 能 用 是 因为 做 了 兼容 ) 。 

(4) 输出 也 不 再 是 单纯 的 二 进 制 代 码 , 改 为 Removable Binary Drivers. 

(5) 操作 系统 引导 不 再 是 调用 Int19 ,而 是 直接 利用 protocol/device Path, 

(6) 对 于 第 三 方 的 开发 ,传统 固件 BIOS 基本 上 做 不 到 ,除非 参与 BIOS 的 设计 ， 
但 是 还 要 受到 ROM 芯片 大 小 的 限制 ,而 UEFI 就 便利 多 了 。 

(7) 弥补 传统 固件 BIOS 对 新 硬件 支持 不 足 的 缺陷 。 

UEFI 结构 可 以 划 为 两 部 分 : UEFI 的 实体 (UEFI Image) 和 平台 初始 化 框架 。 

根据 UEFI 规范 定义 ,UEFI Image 包含 三 种 : UEFI Applications, OS Loaders 
和 UEFI Drivers, UEFI Applications 是 硬件 初始 化 完成 后 ,操作 系统 启动 之 前 的 核 
心 应 用 ,如 启动 管理 .BIOS 设置 .UEFI Shell\ 诊 断 程式 、 调 度 和 供应 程式 、 调 试 应 用 
等 。OS Loaders 是 特殊 的 UEFI Application, 主 要 功能 是 启动 操作 系统 并 退出 和 关 
闭 UEFI WJH. UEFI Drivers 是 提供 设备 间接 口 协议 ,每 个 设备 独立 运行 提供 设备 
版 本 号 和 相应 的 参数 以 及 设备 间 关 联 , 不 再 需要 基于 操作 系统 的 支持 。 

UEFI 框架 主要 包含 两 部 分 ,一 个 是 EFI 与 初始 化 PEICPre-EFI Initialization) , 
另 一 部 分 是 驱动 执行 环境 DXE (Driver Execution Environment). PEI 主要 是 用 来 
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检测 启动 模式 ` 加 载 主 存储 器 初始 化 模块 .检测 和 加 载 驱 动 执 行 环境 核心 。DXE 是 
设备 初始 化 的 主要 环节 , 它 提供 了 设备 驱动 和 协议 接口 环境 界面 。 

目前 ,UEFI 主要 包括 以 下 四 个 规范 : 

。 UEFI 规范 (UEFTI Specification) ; 

。 UEFI 平 台 初 始 化 规范 CUEFI Platform Initialization Specification) ; 

* UEFI Shell 程序 规范 CUEFI Shell Specification) ; 

* 自 测试 规范 (Self-test Specification) 。 


2.4 本 章 小 结 


本 章 首先 考查 了 计算 机 固件 产品 和 技术 的 发 展 历程 ,按照 产品 技术 特色 和 功能 
将 计算 机 固件 发 展 划分 为 传统 固件 BIOS 和 新 一 代 EFI 固件 ,其 中 传统 固件 BIOS 又 
被 划分 为 第 一 代 传统 固件 BIOS 和 第 二 代 传 统 固 件 BIOS。2003 一 2007 年 间 为 传统 
固件 BIOS 产品 和 新 一 代 EFI 固件 产品 共存 的 发 展 阶段 ,而 从 2008 年 开始 ,EFI 固件 
产品 加 速 取代 传统 固件 BIOS 产品 。 而 从 长 远 来 看 ,新 一 代 EFI 固件 取代 传统 固件 
BIOS 已 经 是 产业 不 可 逆转 的 发 展 趋势 。 

近 几 年 来 ,尽管 存在 着 为 数 不 少 的 传统 固件 BIOS 开源 开发 项 目 , 但 受 处理 器 ,. 芯 
片 组 以 及 其 他 硬件 设备 技术 资料 非 公开 、 半 垄断 或 垄断 限制 ,开源 固件 BIOS 产品 通 
常 具有 支持 的 硬件 平台 少 、 功 能 简单 、 缺 乏 对 诸多 工业 规范 如 ACPI、SMBIOS 的 支 
持 、 技 术 落 后 等 缺陷 。EFI/UEFI 规 范 作 为 新 一 代 固 件 事 实 上 的 标准 ,技术 较 传统 固 
fF BIOS 更 为 先进 ,其 公开 的 框架 代码 既 实现 了 对 EFI/UEFI 规范 的 支持 ,又 实现 了 
对 诸多 工业 规范 的 支持 ,因此 是 开发 新 一 代 安 全 固件 首选 技术 路 线 。 

本 章 所 介绍 的 固件 开发 关键 基础 技术 和 规范 ,既是 后 续 章 节 对 传统 固件 BIOS f£ 
在 的 安全 漏洞 .安全 威胁 进行 研究 分 析 , 增 强 固件 安全 的 必 备 基础 ,也 是 安全 固件 开 
发 实践 的 必 备 基础 。 
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传统 固件 BIOSCLegacy BIOS) 产 品 的 核心 技术 ,历来 只 在 计算 机 制造 产业 链 
的 有 限 环节 有 限 开 放 ,BIOS 厂商 掌握 这 些 技术 ,同时 向 合作 的 主板 厂商 、 整 机 厂 
商 按 级 别提 供 部 分 所 需 的 技术 资料 ,并 要 求 这 些 合作 厂商 对 这 些 资料 进行 保密 。 
这 种 封闭 性 使 得 传统 固件 BIOS 发 展 的 30 多 年 来 ,改变 甚 少 ,技术 进步 缓慢 。 其 
他 应 用 厂商 要 想 在 固件 层次 做 出 一 些 应 用 产品 也 相当 困难 。 一 些 高 明 的 黑客 ， 
或 者 一 些 第 三 方 应 用 厂商 ,采用 道 向 工程 技术 破解 和 掌握 这 些 有 限 种 类 的 传统 
固件 产品 的 相关 技术 ,以 求 能 够 在 固件 层次 对 计算 机 发 动 攻击 ,或 者 利用 固件 层 
次 增强 和 保护 计算 机 安全 。 作 者 正 是 基于 这 一 背景 ,在 2002 年 前 后 开始 采用 道 
向 工程 技术 ,结合 有 限 的 开放 技术 资料 ,以 求 在 固件 层次 研究 开发 一 些 安全 工具 
程序 。 本 章 利用 作者 研究 开发 的 两 个 固件 安全 程序 作为 实例 ,分 别 讲述 在 
Award BIOS 和 Phoenix BIOS 这 两 种 产品 中 ,开发 固件 安全 程序 的 技术 原理 、 方 
法 和 过 程 。 
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3.1 Legacy BIOS 固件 安全 增强 技术 


我 国 台 湾 地 区 厂商 自主 开发 的 Award BIOS 一 度 是 在 个 人 计算 机 上 应 用 最 广泛 
的 一 种 公用 固件 产品 ,后 来 在 1998 年 被 美国 Phoenix 公司 收购 ,作为 Phoenix 公司 主 
流 的 个 人 计算 机 固件 产品 。 本 节 讲解 针对 Award BIOS 固件 产品 自主 开发 的 一 种 增 
强 个 人 计算 机 安全 保护 的 安全 工具 : 固件 刷卡 开机 工具 。 这 种 增强 工具 包含 一 个 固 
件 模 块 程序 ,该 固件 模块 程序 被 嵌入 到 计算 机 主板 上 的 BIOS flash 芯片 中 。 当 计算 
机 上 电 启 动 后 ,在 BIOS 固件 运行 阶段 ,嵌入 在 flash 芯片 中 的 固件 模块 程序 会 被 执 
行 , 要 求 用 户 使 用 指定 的 IC 卡 刷卡 开机 。 如 果 刷 卡 正 确 则 继续 开机 过 程 ,进入 操作 
系统 运行 ,否则 停止 开机 过 程 。 通 过 这 个 实例 ,让 读者 了 解 和 掌握 Award BIOS 固件 
应 用 程序 模块 的 结构 .编写 方法 .嵌入 方法 ,并 因此 能 够 编写 更 多 的 固件 安全 程序 。 


3.1.1 固件 刷卡 开机 原理 与 流程 


固件 层次 的 刷卡 开机 ,是 指 在 计算 机 主板 上 的 BIOS flash 芯片 中 嵌入 一 个 刷卡 
开机 模块 程序 。 计 算 机 加 电 开 机 后 ,在 固件 BIOS 运行 阶段 ,截获 计算 机 运行 控制 权 ， 
等 待 用 户 刷卡 验证 。 只 有 验证 正确 , 才 继 续 BIOS 运行 阶段 的 加 载 操作 系统 的 过 程 
(也 就 是 传统 的 INT 19 过 程 ) ,和 否则 停止 运行 。 通 过 刷卡 开机 验证 ,增强 计算 机 安全 
特性 。 特 别 是 该 安全 模块 嵌入 在 BIOS flash 芯片 中 ,难以 破解 和 绕 过 , 相 比 操作 系统 
层次 的 开机 验证 ,提供 了 更 好 的 安全 性 。 

加 入 刷卡 开机 验证 后 ,计算 机 固件 BIOS 运行 流程 为 : 

C 计算 机 开机 上 电 ; 

@ BIOS 自 检 (BIOS POST 阶段 ,Power on Self Test); 

G BIOS 初始 化 ,中 断 可 用 ; 

D 执行 刷卡 开机 安全 增强 模块 ; 
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© 刷卡 验证 , 若 验 证 成 功 ,转向 步骤 @ ,和 否则 停止 开机 过 程 ; 

© 释放 运行 控制 权 给 BIOS, 继 续 BIOS 运行 其 他 过 程 。 

在 上 面 的 流程 中 ,重要 的 一 点 是 一 定 要 使 步骤 团 执行 刷卡 开机 安全 增强 模块 开 
始 运行 前 ,固件 BIOS 运行 过 程 已 经 完成 对 计算 机 的 中 断 初始 化 过 程 。 因 为 该 安全 增 
强 模块 中 需要 调用 运行 某 些 BIOS 中 断 程 序 。 这 个 问题 可 以 通过 指定 安全 增强 模块 
的 类 型 来 解决 ,后 面 会 讲述 到 。 

刷卡 开机 安全 增强 模块 的 执行 流程 为 : 

(D 设置 显示 模式 ， 

© 显示 刷卡 验证 提示 ; 

© 初始 化 串 行 通信 端口 1, 准 备 读 入 卡 内 容 ; 

© 验证 卡 内 容 , 若 正确 ,结束 模块 执行 ,返回 BIOS 运行 ; 若 3 次 验证 都 失败 ， 
停机 。 


3.1.2 编写 固件 安全 增强 模块 程序 


下 面 程序 的 编写 ,只 关注 于 编写 正确 的 可 执行 的 Award BIOS 固件 模块 的 结构 
和 刷卡 验证 的 功能 ,删除 了 原来 开发 产品 中 的 其 他 功能 程序 部 分 。 


;awdexample. asm 
.model tiny ;汇编 后 得 到 .com 程序 ,而 不 是 .exe 程序 
.386 
;定义 宏 disp_string, 用 于 在 屏幕 上 显示 一 行 提示 信息 
disp_string macro str_text, str_len, row, col, attr 

push ax 

push bx 

push cx 

push dx 

push bp 

mov ah, 13h 

push cs 

pop es 

lea bp, str_text 
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mov cx, str_len 
mov bh,0 
mov dh, row 
mov dl, col 
mov al,1 
mov bl, attr 
int 10h 

pop bp 

pop dx 

pop cx 

pop bx 

pop ax 
endm 


text color equ Oah ;定义 显示 的 字符 的 颜色 


;采用 DOS 下 COM 程序 的 格式 
code Segment 
assume cs: code,ds: code,es: nothing,ss: nothing 
org Oh 
db 55h, Oaah ;ISA 模块 标签 
db 40h ;模块 长 度 ,以 512 字 节 为 单位 
;为 避免 复杂 计算 ,此 处 干脆 定义 为 32KB, 不 影响 程序 运行 
start: 
db 66h, 60h, leh ;保存 寄存 器 
push cs 
pop ds 
push cs 
pop es 
;set video mode 
mov ah, 00 
mov al, 12h 
int 10h 
mov ah, Obh 
mov bh,0 
mov bl,1 
int 10h 


call get passwd ;调用 读 卡 验证 子 程序 

db 1fh, 66h, 61h ;恢复 寄存 器 

retf ;返回 BIOS 继续 执行 ,一 定 要 用 长 返回 
; 初始 化 串 行 通信 端口 comml 
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i8250 proc near 
push ax 
push dx 
mov dx, 3fbh 
mov al, 80h 
out dx, al 
mov dx, 3f9h 
mov al, 0 
out dx, al 
mov dx, 3f8h 
mov al, Och 
out dx, al 
mov dx, 3fbh 
mov al, 03h 
out dx, al 
mov dx, 3f9h 
mov al,0 
out dx, al 
mov dx, 3fch 
mov al,0 
out dx, al 
pop dx 
pop ax 
ret 

i8250 endp 


; 读 卡 验证 子 程序 
get_passwd proc near 
mov bl,0 
mov bh,3 


;display waiting message 


;访问 除数 寄存 器 , 波 特 率 9600 


;除数 寄存 器 高 字 节 


;除数 寄存 器 低 字 节 


;通信 控制 器 1 位 停止 位 ,无 校 验 ,8 位 数据 位 


;中 断 允许 控制 器 ,查询 方式 


;modem 控制 器 ,正常 工作 方式 


;row for writing 字符 串 显示 起 始 行 
;最 大 验证 次 数 


disp string passwd tip, passwd tip len,bl,O,text color 


inc bl 


;初始 化 comml 
call i8250 


;IC 卡 内 验证 号 为 10 位 ,从 comml i£ 10 个 字 节 


again: 


push cs 


;set destination string buffer 
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pop es 
lea di,comm_buffer 
cld 
mov cx, 11 
check: 
mov dx, 3fdh ;if error 
in al, dx 
test al, leh 
jnz read_fail 
test al, Olh ;receive data ready 
jz check 
mov dx, 3f8h ;receive data 
in al, dx 
and al, 7fh 
stosb 
loop check 
jmp check passwd 


;display string for read fail 

read fail: 
disp string comm error, comm error len, bl, 0, text color 
inc bl 
jmp again 


;比较 刷卡 读 人 的 内 容 和 指定 的 开机 卡 内 容 
check passwd: 
inc bl 
lea di, comm, buffer 
lea si, passwd 
push es 
pop ds 
cld 
mov cx, 10 
repe cmpsb ;预先 指定 卡 内 容 与 读 入 卡 内 容 比 较 
jz return ;验证 成 功 ,正常 返回 主 程序 
dec bh 
jz fail ;3 次 都 错误 ,验证 失败 ,停机 
;失败 不 足 3 次 ,显示 提示 信息 ,继续 下 一 次 刷卡 验证 
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disp string passwd_try,passwd_try_len,bl,0,text_color ;passwd mismatch 


inc bl 


jmp again 


;显示 验证 失败 信息 ,停机 
fail: 

disp string passwd fail, passwd fail len, bl, 0, text color 
halt: 

hit 

jmp halt 


; 正常 返回 主 程序 
return: 
ret 


get passwd endp 


;data for get passwd 


passwd tip db 'waiting for password. ..... $ 

passwd_tip_len dw $-passwd_tip 

passwd_try db 'error! try again...... i 

passwd try len dw $-passwd try 

passwd fail db 'sorry, you have no right to use this computer! ' 
passwd fail len dw $-passwd fail 

comm. buffer db 11 dup(0) 

passwd db '18006DABD4' 

comm error db 'fail when read from comm, try again' 

comm. error len dw $-comm. error 


code ends 
end start 


使 用 MASMe. 11 汇编 工具 把 上 述 代 码 文件 awdexample. asm 汇编 得 到 
awdexample. com 程序 文件 ,该 . com 文件 即 成 为 可 以 嵌入 到 Award BIOS 固件 中 的 


合法 程序 。 


总 结 起 来 ,编写 第 三 方 Award BIOS 固件 应 用 程序 要 点 包括 : 
(1) 一 定 要 是 一 个 . com 程序 文件 结构 ,程序 只 能 包含 一 个 段 ,程序 长 度 不 能 超 


过 64KB。 
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(2) 务必 要 加 上 ISA 模块 程序 标签 。 因 为 Award BIOS 将 ISA 模块 同 主板 上 
ISA 卡 中 的 ROM 程序 等 同 处 理 ,ISA 模块 程序 执行 时 ,Award BIOS 已 经 处 理 好 了 
绝 大 部 分 的 初始 化 工作 ,包括 大 部 分 的 BIOS 中 断 初始 化 ,此 时 方 可 放心 地 调用 大 部 
分 BIOS 中 断 程序 。 否 则 太 早 执行 ,会 导致 可 利用 资源 少 ,程序 编写 可 用 的 中 断 和 其 
他 资源 受到 较 大 的 限制 ,导致 程序 运行 错误 。 

(3) 模块 执行 结束 必须 使 用 RETF 远程 返回 ,而 不 能 使 用 RET 或 其 他 正常 . com 
程序 那样 的 DOS 中 断 返 回 ,因为 award BIOS 对 ISA 模块 调用 采用 的 是 一 种 远 调用 
(FAR CALL). 

(4) 由 于 操作 系统 尚未 加 载 启动 ,许多 在 操作 系统 环境 下 编程 使 用 的 语句 和 资 
源 尚 不 能 使 用 ,特别 是 操作 系统 级 的 中 断 程序 调用 ,这 一 点 千 万 注意 ! 否则 程序 汇编 
不 出 错 , 但 嵌入 到 BIOS 芯片 中 运行 就 会 发 生 不 可 预知 的 错误 ,导致 程序 运行 跑 飞 。 


3.1.3 Æ BIOS flash HA PRA LS IG oe 


得 到 的 awdexample. com 文件 , 尚 不 能 直接 嵌入 到 BIOS flash 芯片 中 ,这 是 因为 
Award BIOS flash 芯片 中 的 内 容 是 有 固定 的 组 织 结构 的 。 读 出 Award BIOS flash 45 
片 中 的 内 容 存 成 文件 ( 称 为 BIOS flash 映像 文件 ) ,可 以 发 现 它 的 模块 程序 都 是 由 模 
块头 部 结构 和 模块 的 数据 /代码 两 部 分 构成 ,并 且 模 块 数据 /代码 部 分 往往 是 经 过 压 
缩 存储 的 。 关 于 Award BIOS 典型 的 模块 头 部 结构 在 本 书 5. 5. 1 节 中 介绍 。 

使 用 Award 公司 提供 的 工具 程序 CBROM 可 以 把 awdexample. com 程序 转换 成 
Award BIOS 模块 ,并 可 以 将 该 模块 嵌入 到 BIOS flash 映像 文件 中 的 空白 空间 处 (不 
用 担心 映像 文件 中 没有 空白 空间 或 空白 空间 不 足 ,在 作者 十 多 年 固件 研究 过 程 中 ,这 
种 情况 还 从 来 没有 遇 到 过 ,因为 主板 厂商 总 会 慷慨 地 提供 多 余 的 空白 flash 芯片 空间 
以 防 万 一 ) 。 

在 使 用 cbrom 工具 操作 之 前 ,需要 先 得 到 BIOS flash 芯片 映像 文件 , 即 读 出 
BIOS flash 芯片 内 容 并 存储 成 数据 文件 。 有 很 多 可 用 的 软件 工具 可 以 帮助 完成 这 项 
工作 ,如 awdflash,uniflash,winflash 等 。 并 且 这 些 工具 理所当然 地 可 以 完成 相反 的 


32 计算 机 固件 安全 技术 


工作 , 即 把 修改 后 的 映像 文件 再 写 回 到 主板 上 的 BIOS flash 芯片 中 。 
因此 ,要 想 把 上 面 完 成 的 固件 安全 增强 模块 程序 嵌入 到 计算 机 主板 上 BIOS 
flash 芯片 中 ,可 以 采用 下 面 描述 的 过 程 来 完成 。 


1. 读 取 BIOS flash 芯片 内 容 , 得 到 BIOS flash 映像 文件 


awdflash mybios.bin mybios.bin /pn/sy 


如 果 想 要 看 到 命令 执行 过 程 中 的 屏幕 提示 信息 ,可 以 删除 参数 /pn/sy 来 运行 这 条 命 
令 。 这 条 命令 执行 的 结果 ,是 把 主板 上 BIOS flash 芯片 中 的 内 容 读 出 来 并 存储 到 当 
前 目录 下 的 mybios. bin 文件 中 。 


2. 把 安全 增强 模块 程序 嵌入 到 BIOS flash 映像 文件 中 
运行 命令 : 
cbrom mybios. bin /isa awdexample. com 


这 条 命令 执行 的 结果 ,是 把 awdexample. com 转化 成 符合 awawd BIOS 模块 结构 的 
ISA 代码 模块 (加 上 模块 头 部 结构 ,并 且 头 部 结构 中 模块 类 型 标识 值 为 0x40A40000， 
即 ISA 模块 ) ,并 将 该 模块 戏 和 到 映像 文件 mybios. bin 中 的 空白 区 部 分 。 

当然 ,如 果 是 初次 试验 ,建议 先 备份 映像 文件 mybios. bin, Ja PHE E T Ai A 
操作 ,以 免 发 生意 外 时 有 可 以 用 来 恢复 BIOS flash 芯片 的 正确 的 映像 文件 。 


3. 用 典 入 了 安全 增强 模块 程序 的 映像 文件 刷新 BIOS flash 芯片 
运行 命令 : 
awdflash mybios. bin /py/sn/E 


这 条 命令 执行 的 结果 ,就 是 用 已 经 嵌入 了 安全 增强 程序 awdexample. com 模块 的 映 
像 文件 mybios. bin 刷新 主板 上 的 BIOS flash 芯片 ,使 得 主板 上 BIOS flash 芯片 中 包 
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含 这 个 安全 增强 程序 。 

成 功 完成 上 面 3 个 步骤 后 ,现在 可 以 重新 启动 你 的 计算 机 ,享受 刷卡 开机 带 来 的 
快乐 吧 。 

上 面 这 个 刷卡 开机 的 固件 安全 增强 程序 工具 开发 的 描述 ,有 助 于 此 基础 上 完成 
更 多 复杂 的 基于 Award BIOS 固件 产品 的 第 三 方 安全 应 用 。 


3.2 Legacy BIOS 固件 安全 代理 技术 


代理 技术 是 指 能 自动 后 台 运 行 某 些 应 用 的 工具 。 固 件 安全 代理 ,是 指 在 固件 中 
钳 入 的 安全 代理 程序 , 它 能 够 在 计算 机 固件 运行 后 ,自动 被 加 载运 行 ,完成 事先 指定 
的 安全 功能 。 这 种 固件 代理 技术 可 用 于 攻防 两 个 方面 ,用 于 防 的 方面 ,可 以 在 固件 层 
次 完成 操作 系统 运行 前 后 的 安全 代理 服务 功能 ,如 远程 验证 、 服 务 下 载 等 ; 用 于 攻 的 
方面 ,可 以 用 于 在 固件 中 隐藏 恶意 代码 (如 木马 或 rootkit 程序 ) ,并 且 可 分 别 于 固件 
运行 阶段 和 操作 系统 运行 阶段 窃取 系统 运行 控制 权 。 

Phoenix BIOS 固件 ,特别 是 Phoenix 4. 0 固件 ,是 笔记 本 电脑 上 最 主流 的 传统 
BIOS 固件 。 本 节 曾 述 在 Phoenix 4. 0 realease 6. 0 版 本 的 固件 产品 中 ,开发 一 个 固件 
安全 代理 程序 的 原理 、 方 法 和 编程 技术 。 由 于 针对 的 固件 产品 的 不 同 , 使 得 这 个 固件 
安全 代理 开发 技术 和 3. 1 节 的 固件 安全 增强 程序 开发 有 较 大 的 不 同 。 

该 固件 安全 代理 嵌入 在 计算 机 主板 上 的 BIOS flash 芯片 中 。 在 BIOS 运行 阶 
段 ,该 固件 安全 代理 会 被 执行 ,并 且 将 自身 的 一 部 分 功能 服务 程序 释放 到 硬盘 中 的 
操作 系统 中 ,并 使 得 操作 系统 加 载运 行 后 ,能 自动 地 在 后 台 运 行 由 固件 释放 过 来 的 
安全 代理 功能 服务 程序 。 由 于 这 种 安全 代理 隐身 于 固件 flash 芯片 中 ,因此 即使 执 
行 删除 重 装 操作 系统 .更 换 硬盘 等 操作 ,也 不 会 影响 这 种 固件 安全 代理 的 释放 和 
执行 。 


95. 计算 机 固件 安全 技术 


3.2.1 固件 安全 代理 技术 原理 与 流程 


固件 安全 代理 程序 采用 了 两 层 结 构 ,外 层 程序 称 为 shell 程序 ,是 一 个 符合 
Phoenix 4.0 BIOS 固件 格式 的 固件 模块 程序 ,在 BIOS 运行 阶段 被 执行 。 内 层 程 序 称 
为 stone 程序 ,是 一 个 Windows 操作 系统 可 执行 程序 ,在 Windows 操作 系统 启动 后 
被 自动 加 载 执行 。 在 BIOS 运行 阶段 ,shell 程序 被 加 载 执行 后 ,其 主要 工作 包括 : 一 
是 在 硬盘 的 启动 分 区 查找 操作 系统 安装 目录 ,把 自身 包含 的 stone 程序 模块 释放 并 写 
入 到 硬盘 中 的 操作 系统 安装 目录 中 ; 二 是 修改 操作 系统 配置 文件 system. ini 文件 ,使 
得 所 释放 的 stone 程序 在 操作 系统 加 载 启动 后 能 够 在 后 台 自 动 执 行 。 而 固件 安全 代 
理 的 代理 服务 功能 则 由 stone 程序 在 Windows 运行 环境 下 完成 ,目前 该 代理 服务 功 
能 主要 是 同 远程 的 指定 服务 器 连接 验证 ,完成 服务 器 提供 的 上 传 下载 文 档 的 指示 。 

加 入 固件 安全 代理 程序 后 ,计算 机 固件 BIOS 运行 流程 为 : 

® 计算 机 开机 上 电 ; 

© BIOS 自 检 (BIOS POST [fr BE, Power on Self Test); 

G BIOS 初始 化 ,中 断 可 用 ; 

@ 按照 固件 模块 链接 表 顺 序 ,执行 固件 安全 代理 程序 模块 ; 

C) 固件 安全 代理 模块 释放 ,运行 控制 权 给 BIOS, 继 续 BIOS 运行 其 他 过 程 。 

固件 安全 代理 程序 模块 的 执行 流程 为 : 

(D shell 程序 运行 ; 

@ 识别 硬盘 操作 系统 分 区 类 型 ; 

O 若 操作 系统 分 区 类 型 被 支持 ,将 所 包含 的 stone 程序 写 人 到 硬盘 中 系统 目录 
中 ; 若 操作 系统 分 区 类 型 不 被 支持 ,转向 步骤 @; 

CD 在 硬盘 系统 目录 中 查找 系统 文件 system. ini, 添 加 自 启 动 stone 程序 配置 项 
内 容 ; 

© 返回 BIOS 继续 执行 。 


c 
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3.2.2 编写 安全 代理 shell 模块 程序 


下 面 的 缩 略 程序 ,主要 是 为 说 明 在 Phoenix 4. 0 BIOS 固件 中 ,如 何 编写 第 三 方 可 
执行 的 固件 应 用 程序 模块 ,以 及 说 明 安 全 代理 中 shell 程序 和 stone 程序 之 间 的 依存 
关系 。 而 关于 磁盘 文件 系统 在 固件 中 的 读 写 处 理 , 把 stone 程序 写 入 到 磁盘 上 操作 系 
统 目录 中 等 磁盘 文件 处 理 操 作 代 码 , 由 于 与 本 书 研 究 重 点 关系 不 大 ,因此 ,只 保留 简 
要 的 磁盘 扇 区 读 写 处 理 部 分 代码 ,以 示 固 件 中 磁盘 读 写 处 理 方法 。 

;phshell. asm 

.model tiny 

.386 


code segment 


assume cs: code, ds: code,es: nothing,ss: nothing 


org Oh 
main: 
db ' $ INI&' ;标志 其 后 的 字 节 为 开始 执行 的 代码 
db 66h, 60h, leh ;保存 寄存 器 
bak ;省 略 shell 程序 显示 和 菜单 初始 化 代码 
push cs 
pop ds 
push cs 
pop es 
sti ; 开 中 断 


mov ax, 0201h 

mov bx, offset diskbuffer 

mov cx,1 

mov dx, 80h 

int 13h ; 读 磁 盘 master boot HK 


mov si, offset diskbuffer 


mov dl, byte ptr [si+1c2h] ; 读 取 分 区 类 型 

cmp dl,0bh ;分 区 类 型 为 fat32 

je fat_32 

cmp dl, Och ;分 区 类 型 为 fat32(LBA) 


je fat_32 
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jmp return ;其 他 分 区 类 型 ,暂时 忽略 ,不 做 操作 
fat_32: 

mov si, offset diskbuffer ;判断 是 否 活动 分 区 (active partion) 

mov dx, word ptr [si-- 1beh] ; (00h— Inactive, 80h— Active) 

cmp dl, 80h ;是 活动 分 区 

je stone 

jmp return ; 非 活 动 分 区 ,忽略 ,不 做 操作 


;下 面 省 略 释放 stone 程序 模块 到 活动 分 区 系统 目录 的 过 程 


Stone: 


return: 


db 1fh, 66h, 61h ;恢复 寄存 器 
retf ;把 系统 运行 控制 权 交 回 给 BIOS 
;省 略 其 他 子 程序 和 数据 定义 
stone flag db "STONE BEGIN" ;stone 程序 存放 起 始 标记 
db 5000h dup(042h) ;stone 程序 模块 存放 的 预 留 空间 


diskbuffer db 512 dup(0) ;磁盘 扇 区 数据 缓冲 区 


code ends 


end main 


从 上 述 phshell. asm 程序 可 以 发 现 ,编写 Phoenix 4. 0 BIOS 固件 产品 的 可 执行 
程序 模块 同 编写 Award BIOS 固件 产品 的 可 执行 ISA 程序 模块 相 比 较 , 程 序 结构 既 
有 明显 的 不 同 , 又 有 相似 之 处 。 其 中 最 主要 的 不 同 在 于 两 者 程序 模块 开始 处 头 几 个 
字 节 的 含义 不 同 。 

在 安全 代理 shell 程序 中 ,为 安全 代理 stone 程序 模块 预 留 了 数据 缓冲 区 。 当 编 
lif. stone 程序 后 ,就 可 以 把 stone 二 进 制 程序 嵌入 到 shell 模块 中 这 部 分 预 留 数据 
缓冲 区 中 。 这 样 , 当 shell 程序 在 BIOS 运行 阶段 被 执行 时 ,就 可 以 读 取 这 部 分 stone 
二 进 制 程序 ,把 它 写 人 到 磁盘 文件 中 。 在 固件 执行 阶段 ,对 于 磁盘 数据 的 读 写 操作 ， 
可 以 采用 BIOS 中 断 INT 13h 来 完成 。 

至 于 安全 代理 的 stone 程序 ,因为 其 完全 是 一 个 Windows 下 的 可 执行 程序 ,在 这 


c F: 
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里 不 再 讨论 其 编写 技术 。 但 是 需要 提醒 的 是 ,在 BIOS flash 固件 芯片 中 寸土 才 金 的 
地 方 ,是 没有 是 够 的 空间 容纳 庞大 的 Windows 程序 的 。 因 此 stone 程序 的 编写 ,必须 
要 考虑 采用 减少 其 二 进 制 程序 长 度 的 技术 。 


3.2.3 Æ BIOS flash 芯片 中 其 入 安全 代理 程序 


准备 好 安全 代理 程序 模块 后 (包括 shell 程序 和 stone 程序 ) ,下 面 要 做 的 工作 是 把 
这 个 安全 代理 程序 模块 嵌入 到 计算 机 主板 上 的 BIOS flash 芯片 中 。 这 个 过 程 与 3. 1. 3 节 
在 Award BIOS flash 芯片 中 嵌入 安全 增强 程序 也 很 相似 ,只 是 所 采用 的 工具 有 所 不 
同 ,两 者 模块 结构 也 不 同 。 

CD 把 stone 二 进 制 程序 插入 到 shell 二 进 制 程序 模块 中 的 预 留 空间 中 ,得 到 完 
整 的 安全 代理 程序 模块 。 

(2) 把 完整 的 安全 代理 程序 模块 处 理 成 为 合法 的 Phoenix 4. 0 BIOS 固件 可 执行 
模块 , 即 加 上 模块 头 部 结构 ,并 对 程序 模块 进行 压缩 处 理 ( 也 可 以 不 压缩 )。 关 于 
Phoenix 4. 0 BIOS 固件 模块 头 部 结构 ,本 书 5. 5. 2 节 再 作 更 详细 的 介绍 。 这 个 步 又 
的 操作 可 以 自己 编写 Windows 小 工具 程序 来 实现 ,也 可 以 使 用 Phoenix 公司 提供 的 
prepare 工具 来 实现 。 假 设 完整 的 安全 代理 程序 模块 文件 名 为 module. rom. 使 用 
prepare 工具 实现 ,只 需要 运行 下 面 的 命令 行 : 


prepare module. scr 


其 中 module. ser 是 一 个 文本 类 型 的 配置 文件 ,其 内 容 可 以 编辑 如 下 : 


COMPRESS LZINT + EHI LZINT 压缩 算法 压缩 模块 内 容 

# no compress 

# SETUP module. ROM-X # 无 需 压 缩 模块 内 容 ,删除 这 个 setup 之 前 的 注释 符 
# compress 


# SETUP module. ROM # 要 压缩 模块 内 容 , 删 除 这 个 setup 之 前 的 注释 符 


prepare 命令 运行 后 生成 的 新 的 模块 的 名 称 为 module. mod。module. mod 模块 
就 是 一 个 可 以 嵌入 到 Phoenix 4. 0 BIOS 固件 芯片 中 的 合法 的 可 执行 模块 。 模 块 类 型 
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为 setup, 类 型 标识 符 值 为 E。 

(3) 获取 计算 机 主板 上 的 Phoenix 4. 0 BIOS 固件 映像 文件 。 这 可 以 通过 使 用 
uniflash 软件 工具 来 得 到 。Uniflash 工具 是 一 个 开源 的 读 写 主 板 BIOS 固件 芯片 的 
工具 。 

(4) 把 完整 的 合法 的 安全 代理 程序 模块 module. mod 嵌入 到 BIOS 映像 文件 中 。 
这 一 步 操作 没有 现成 的 可 用 工具 ,无 论 是 Phoenix 公司 还 是 其 他 第 三 方 ,都 没有 提供 
公开 的 工具 来 实现 这 个 功能 。 作 者 通过 逆向 分 析 和 反复 试验 ,终于 成 功 地 完成 这 个 
步骤 的 操作 ,并 且 编写 了 专用 的 小 工具 程序 foister. exe 来 自动 完成 这 个 步骤 的 操作 。 
工具 程序 foister. exe 的 操作 流程 将 在 下 面 进一步 阐述 。 

(5) 把 嵌入 了 安全 代理 程序 模块 的 BIOS 映像 文件 刷新 到 主板 上 BIOS flash ith 
片 中 。 这 一 步骤 操作 同样 可 使 用 开源 软件 工具 uniflash 来 完成 。 不 再 著述 。 

经 过 上 面 的 五 个 步骤 的 操作 ,以 后 每 次 开机 启动 后 ,BIOS flash 中 的 安全 代理 程 
序 都 会 被 执行 ,并 且 把 芯片 中 包含 的 stone 代理 模块 程序 释放 到 Windows 系统 中 ( 实 
际 中 加 入 了 重复 释放 检查 )。Windows 操作 系统 启动 后 ,会 在 后 台 自 动 执 行 stone 代 
理 程序 ,该 代理 程序 与 远程 指定 服务 器 进行 验证 和 连接 ,完成 服务 器 要 求 的 文档 上 传 
和 下 载 指示 。 并 且 只 要 不 更 换 主 板 , 即 使 重新 安装 操作 系统 、 格 式 化 硬盘 、 更 换 硬盘 ， 
这 个 固件 安全 代理 程序 也 会 依然 存在 。 同 样 的 道理 ,这 样 的 一 个 固件 安全 代理 程序 
如 果 用 于 攻击 ,很 容易 演化 成 为 一 个 固件 木马 程序 。 

下 面 描述 一 下 上 述 第 (4) 步 中 提 到 的 工具 程序 foister. exe 的 功能 流程 。foister. exe 
主要 功能 是 在 映像 文件 中 查找 空白 区 (全 0xFF 覆盖 的 区 域 ) ,找到 后 把 安全 代理 程序 
模块 module. mod 的 内 容 覆 盖 到 这 片 空白 区 中 ,然后 在 映像 文件 中 根据 模块 链表 查 
找 固件 中 原 有 的 setup 模块 ,找到 后 通过 修改 其 前 后 的 模块 头 部 连接 指针 地 址 ,以 及 
安全 代理 程序 模块 头 部 指针 地 址 ,把 安全 代理 程序 模块 插入 到 映像 文件 中 的 模块 单 
链表 存储 结构 中 ( 见 5. 5. 2 一 节 Phoenix BIOS 映像 文件 和 模块 结构 ) 。 

之 所 以 选择 把 安全 代理 程序 模块 设置 成 setup 类 型 的 模块 ,是 因为 在 Phoenix 4. 0 
BIOS 固件 中 ,setup 类 型 的 模块 被 执行 时 ,往往 代表 着 BIOS 固件 的 软 硬 件 初始 化 工 
作 都 已 经 完成 ,固件 应 用 程序 可 以 放心 地 调用 各 种 软 硬 件 资源 了 。 这 对 于 安全 代理 
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程序 成 功 地 运行 是 至 关 重 要 的 。 
3.3 ”本 章 小 结 


本 章 结合 作者 早期 对 固件 安全 的 研究 开发 成 果 , 分 别 阐述 了 在 传统 的 Award 
BIOS 和 Phoenix BIOS 这 两 种 主流 的 个 人 计算 机 和 笔记 本 电脑 固件 产品 中 ,如 何 开 
发 编写 第 三 方 安全 应 用 程序 ,如 何 利用 软件 手段 把 第 三 方 安全 应 用 程序 嵌入 到 计算 
机 主板 上 的 BIOS flash 芯片 中 。 使 得 读者 能 够 基本 上 掌握 这 些 固件 应 用 程序 开发 的 
原理 和 技术 手段 ,在 此 基础 上 ,能 够 更 好 地 理解 后 续 章 节 的 固件 安全 技术 研究 内 容 。 

固件 安全 增强 技术 使 得 计算 机 安全 在 物理 安全 、 操 作 系统 安全 、 网 络 安全 层次 之 
外 ,又 多 了 一 层 固 件 层 次 的 安全 保护 。 

固件 安全 代理 技术 则 可 以 用 于 安全 攻防 的 两 个 方面 ,特别 地 要 关注 其 用 于 固件 
木马 技术 的 开发 。 

同时 ,也 希望 本 章 的 内 容 能 引起 更 多 人 对 固件 安全 和 威胁 更 实在 的 感受 和 体验 ， 
让 计算 机 固件 安全 在 我 国 得 到 更 大 范围 的 重视 。 


第 4 章 
固件 BIOS 安 全 漏洞 及 威胁 研究 


计算 机 固件 BIOS 的 安全 长 期 不 被 重视 ,其 中 一 个 重要 的 原因 ,是 计算 固件 是 固化 
在 硬件 芯片 中 的 一 种 软件 。 因 为 固化 在 硬件 芯片 中 得 到 硬件 芯片 的 保护 ,因此 要 想 对 
其 代码 和 数据 进行 自 改 就 很 困难 。 但 用 户 的 需求 和 技术 的 发 展 改 变 了 这 一 切 , 使 得 其 
安全 问题 越 来 越 多 地 祖 露 在 公众 面前 ,甚至 于 CIH 病毒 令 到 一 般 用 户 和 专业 人 士 都 必 
须要 重新 审视 固件 安全 威胁 的 严重 后 果 。 固 件 产品 的 安全 漏洞 同 操作 系统 .应 用 软件 
系统 中 存在 的 安全 漏洞 相 比 较 ,在 数量 上 少 之 又 少 ,但 绝对 不 可 以 忽略 不 计 。 针 对 固件 
的 安全 威胁 技术 ,由 于 其 深 处 底层 ,更 有 上 层 软件 技术 威胁 无 可 比拟 的 摧毁 性 。 

本 章 对 固件 安全 漏洞 进行 了 截至 目前 最 为 完整 的 分 析 , 并 分 类 对 威胁 固件 安全 
的 多 种 技术 从 原理 和 实现 方法 上 进行 了 探讨 。 


4.1 固件 BIOS 安全 漏洞 和 威胁 概念 的 含义 


CVE(Common Vulnerabilities and Exposures) 是 全 球 信息 安全 界 对 计算 机 安全 
漏洞 和 脆弱 性 统一 命名 的 权威 知识 库 。CVE 列表 (CVE List) 包 含 目 前 所 有 已 知 的 
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计算 机 安全 漏洞 和 脆弱 性 及 其 标准 命名 。 

在 CVE 文档 中 ,安全 漏洞 和 脆弱 性 两 者 的 概念 和 外 延 是 有 区 别 的 。 

在 CVE 中 ,对 “漏洞 (Vulnerability)” 的 定义 是 : 

定义 4-1 信息 安全 领域 的 漏洞 是 指 存在 于 软件 中 的 错误 ,这 种 错误 能 够 被 黑客 
直接 利用 以 获取 对 系统 或 网 络 的 访问 权限 。 

按照 CVE 的 定义 ,主机 或 网 络 系统 中 存在 的 “错误 ”, 只 有 该 “错误 ”能 够 被 攻击 
者 直接 利用 并 违反 系统 的 安全 政策 时 ,才能 够 称 为 “漏洞 "。 例 如 ,攻击 者 利用 漏洞 冒 
充 合 法 用 户 执行 命令 ,或 访问 只 有 合法 用 户 才能 访问 的 数据 ,或 实施 一 次 拒绝 服务 攻 
击 (Denial of Service) 。 

CVE 中 对 “脆弱 性 (Exposure) ”的 定义 是 : 

定义 4-2 信息 安全 领域 的 脆弱 性 是 指 存在 于 软件 中 的 系统 配置 选项 或 配置 错 
JR ,该 配置 选项 或 错误 能 够 被 黑客 用 于 非法 访问 系统 信息 ,或 作为 进一步 获取 访问 或 
进入 主机 和 网 络 系统 的 跳板 。 

按照 CVE 的 定义 ,系统 配置 选项 或 错误 的 脆弱 性 不 会 直接 危及 系统 的 安全 ,但 
可 能 成 为 一 次 成 功 攻击 的 重要 组 成 部 分 。 例 如 ,攻击 者 可 利用 系统 脆弱 性 来 收集 攻 
击 需要 的 相关 信息 、 隐 藏 攻击 活动 的 踪迹 ,或 作为 攻击 的 突破 口 等 。 

文献 [28] 给 出 了 另 一 种 外 延 更 宽 的 安全 漏洞 定义 : 

定义 4-3 ”安全 漏洞 (Vulnerability) 是 存在 于 计算 机 系统 、 网 络 系统 的 硬件 , 软 
件 , 或 与 系统 相关 的 安全 过 程 和 控制 方式 中 的 设计 或 实现 缺陷 ,可 被 有 意 或 无 意 地 利 
用 从 而 危害 组 织 或 个 人 的 财产 或 操作 过 程 。 

定义 4-3 所 定义 的 漏洞 (Vulnerability) 的 概念 ,同时 涵盖 了 定义 4-1 和 定义 4-2 
的 “漏洞 (Vulnerability)” 和 “脆弱 性 (Exposure)” 这 两 个 不 同 的 概念 。 实 际 上 ,在 
CVE 列表 (CVE List) 中 ,也 并 没有 对 漏洞 和 脆弱 性 加 以 区 分 。 

本 书 所 指 固件 BIOS 安全 漏洞 ,采用 定义 4-3 的 安全 漏洞 概念 。 

定义 4-4 威胁 (Threat) 是 指 有 意 或 无 意 地 利用 系统 存在 的 漏洞 而 破坏 系统 的 
机 密 性 、 完 整 性 或 可 用 性 的 潜在 情形 或 事件 29 。 

威胁 通常 由 威胁 代理 (Threat Agent) 来 实现 ,恶意 的 黑客 .犯罪 组 织 `. 内 部 人 员 
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(如 系统 管理 者 和 开发 者 ) ER a TEA RERA RHR. 

固件 BIOS 安全 威胁 是 指 利用 固件 BIOS 系统 存在 的 漏洞 ,从 而 导致 对 计算 机 BIOS 
固件 ,操作 系统 等 软件 以 及 硬件 设备 和 数据 实施 破坏 的 可 能 情形 和 事件 。 固 件 BIOS 安 
全 威胁 可 指 来 自 于 BIOS 固件 系统 的 威胁 ,也 可 指 对 BIOS 固件 系统 构成 的 威胁 。 


4.2 固件 BIOS 安全 漏洞 和 威胁 的 成 因 


固件 BIOS 安全 漏洞 和 威胁 是 伴随 着 固件 BIOS 技术 和 产品 的 发 展 更 新 而 逐步 
产生 的 。 从 1981 年 BIOS 在 IBM 的 第 一 台 个 人 计算 机 上 出 现 到 今天 ,BIOS 固件 系 
统 的 设计 从 未 考虑 过 安全 问题 ,导致 BIOS 系统 面 对 的 安全 威胁 逐步 增加 。 本 节 归 纳 
出 导致 BIOS 安全 风险 形成 的 三 个 主要 因素 。 

(1) 固件 BIOS 功能 的 扩展 和 增强 ,导致 可 被 恶意 利用 的 固件 BIOS 安全 漏洞 逐 
渐 增 加 。 由 BIOS OEM 厂商 定制 开发 或 其 他 第 三 方 开发 的 BIOS 功能 模块 ,由 于 硬 
件 或 软件 兼容 性 问题 ,可 能 造成 计算 机 BIOS 系统 存在 某 种 功能 障碍 或 对 计算 机 数据 
造成 一 定 程度 的 破坏 ; BIOS 配置 项 的 不 合理 或 配置 政 忽 也 可 能 会 被 攻击 者 利用 以 实 
现 对 计算 机 实施 本 地 或 远程 的 存 取 和 控制 。 新 一 代 EFI BIOS 产品 内 置 的 TCP/IP B 
议 支持 .USB 协议 支持 、 命 令 Shell 支持 等 ,使 得 BIOS 更 像 是 一 个 Mini OS, 在 BIOS 
系统 功能 增强 的 同时 也 带 来 更 多 负面 的 安全 风险 。 

(2) BIOS 存储 芯片 可 采用 纯 软 件 方式 进行 读 写 所 带 来 的 安全 漏洞 和 风险 。 存 
在 多 种 应 用 需求 要 求 能 够 采用 纯 软 件 方式 对 BIOS 进行 读 写 , 例 如 : BIOS 需要 与 操 
作 系 统 进 行 交 互 并 在 BIOS flash 中 存储 动态 配置 数据 ; 通过 网 络 对 BIOS 固件 进行 
更 新 升级 以 修补 CPU 或 BIOS 系统 存在 的 缺陷 ,或 是 使 得 升级 后 的 BIOS 系统 能 够 
支持 新 的 硬件 设备 。 从 2000 年 以 后 ,市 场 上 大 多 数 主板 允许 计算 机 用 户 通 过 网 络 对 
BIOS 在 线 升 级 。 即 插 即 用 (Plug and Play,PnP)55 协 议 也 要 求 BIOS 在 运行 过 程 中 
能 够 自动 侦 测 硬件 的 变化 ,并 将 相应 信息 保存 下 来 以 备 计算 机 下 一 次 启动 使 用 ,这 些 
信息 往往 需要 保存 到 BIOS flash 的 NVM EX, CPU 的 微 码 更 新 也 要 求 能 够 方便 地 
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对 主板 上 的 BIOS 进行 重 写 。 为 适应 这 些 变化 ,主机 板 BIOS 芯片 由 最 初 使 用 的 
ROM, PROM, EPROM 等 芯片 逐步 被 可 以 使 用 纯 软 件 方式 改写 更 新 的 flash 芯片 取 
代 。 即 在 操作 系统 环境 下 ,采用 软件 工具 ,不 必 使 用 其 他 辅助 硬件 设备 ,就 能 够 对 主 
板 上 存储 BIOS 的 芯片 进行 读 写 , 擦 除 或 改写 其 内 容 。 攻 击 者 利用 BIOS 存储 芯片 的 
这 种 特性 ,可 以 向 BIOS 中 写 和 人 恶意 控制 代码 或 自 改 BIOS, 从 而 达到 控制 或 破坏 计算 
机 和 网 络 系统 的 目的 。 

(3) BIOS 存储 芯片 容量 的 不 断 扩 展 带 来 的 安全 风险 。 伴 随 BIOS 功能 扩展 ， 
BIOS 存储 芯片 从 最 早 的 32KB 逐步 增加 到 64KB、128KB, 目 前 512KB 和 1024KB 的 
Flash 存储 芯片 逐渐 占据 了 BIOS 存储 芯片 市 场 的 主要 份额 。 本 文 研究 过 程 中 对 市 
场 上 计算 机 BIOS 的 抽样 调查 表明 ,存储 BIOS 的 flash 芯片 其 空间 并 未 被 完全 占用 ， 
一 般 尚 有 几 十 KB 甚至 几 百 KB 的 剩余 空间 。BIOS 中 这 些 剩余 空间 为 恶意 代码 植 和 人 
BIOS 中 提供 了 存储 便利 。 

这 里 解释 一 下 CPU 微 码 更 新 的 概念 。 从 Pentium Pro 处 理 器 开始 ,Intel CPU 
具备 一 项 称 为 “ 微 码 更 新 "(Microcode Update) 的 功能 ,可 对 CPU 某 些 缺陷 进行 修复 。 
若 某 一 批 CPU 集成 电路 在 设计 时 有 未 被 检测 到 的 缺陷 (Bug) 时 ,只 要 这 个 错误 还 可 
以 由 微 码 的 方式 加 以 修正 , 则 BIOS 可 以 通过 微 码 更 新 的 功能 ,将 Intel 所 送 来 的 某 批 
号 的 修正 微 码 ,在 BIOS 的 检测 运行 过 程 中 写 入 Pentium Pro 内 部 的 MicroROM 中 ， 
这 样 就 可 以 修正 CPU 的 缺陷 ,而 Intel 也 就 不 需要 大 费 周折 地 回收 存在 BUG 的 
CPU 了 。 微 码 更 新 主要 是 通过 指令 cpuid 首先 读 出 该 CPU 相应 的 标识 , 若 该 标识 与 
Intel 提供 的 微 码 表 中 标识 相同 , 则 表明 需要 进行 修复 ,通过 wrmsr 指令 将 微 码 写 入 
CPU 的 微 码 存储 区 中 ,从 而 修复 CPU 缺陷 。 


4.3 BIOS 安全 漏洞 分 析 


同 操作 系统 数据库 .网 络 系统 中 已 发 现 的 大 量 漏 洞 相 比较 ,BIOS 存在 的 安全 漏 
洞 一 直 被 忽视 ,其 被 发 现 的 漏洞 数量 迄今 为 止 仍然 处 于 一 个 较 低 水 平 。 这 其 中 的 原 
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因 ,一 是 对 BIOS 安全 的 研究 起 步 较 晚 ,关注 者 较 少 ,二 是 BIOS 系统 处 于 底层 ,对 其 
攻击 或 利用 其 攻击 系统 技术 难度 较 高 。 而 伴随 BIOS 技术 和 功能 的 进一步 发 展 ， 
BIOS 存在 的 安全 漏洞 及 其 安全 重要 地 位 正 逐 渐 为 安全 业界 所 认 知 。 

CVE 包含 两 种 不 同 状态 的 安全 漏洞 : 正式 (Entry) 状 态 和 候选 (Candidate) 状 态 。 
正式 状态 的 安全 漏洞 是 已 被 CVE 编辑 委员 会 (CVE Editorial Board) 审 核 认 可 并 正 
式 发 布 公认 的 安全 漏洞 ,候选 状态 的 安全 漏洞 则 需要 等 待 CVE 编辑 委员 会 审核 认可 
后 , 才 有 可 能 被 接受 为 正式 状态 。 本 书 对 CVE 研究 统计 的 结果 显示 ,截止 到 2007 年 
12 月 14 日 ,最 新 发 布 的 CVE 列表 (CVE List) 中 包含 29548 个 安全 漏洞 。 其 中 ,正式 
状态 的 安全 漏洞 3054 个 ,候选 状态 的 安全 漏洞 26494 个 。 正 式 状态 的 安全 漏洞 中 与 
BIOS 相关 的 安全 漏洞 为 零 个 ,候选 状态 的 安全 漏洞 中 ,与 BIOS 相关 的 安全 漏洞 有 
4%. 

安全 漏洞 的 发 现 , 是 一 个 探索 ,积累 和 认识 深入 的 长 期 过 程 。 综 合 采用 安全 隐患 
T SCA RIOT .手工 测试 .静态 和 动态 分 析 等 漏洞 发 现 技术 ,结合 CVE 描述 ,本 书 发 现 
并 验证 了 BIOS 中 目前 存在 的 多 种 安全 漏洞 ,这 里 介绍 一 些 主要 的 BIOS 安全 漏洞 。 


1. BIOS 远程 开机 漏洞 


该 漏洞 在 目前 市 场 上 的 BIOS 产品 中 普遍 存在 。BIOS Setup 中 默认 设置 允许 在 
计算 机 关闭 电源 而 保持 电源 物理 连接 的 情况 下 ,使 用 特殊 的 工具 软件 ,通过 网 卡 或 调 
制 解 调 器 打开 计算 机 电源 ,远程 启动 计算 机 。 这 使 得 攻击 者 可 能 在 用 户 毫 无 察觉 的 
情况 下 非法 访问 用 户 计 算 机 。 


2. BIOS 定时 开机 漏洞 


该 漏洞 在 目前 市 场 上 的 BIOS 产品 中 普遍 存在 。BIOS Setup 中 默认 设置 允许 在 
计算 机 关闭 电源 而 保持 电源 物理 连接 的 情况 下 , 当 BIOS Setup 中 设 定 的 日 期 和 时 间 
到 来 时 ,BIOS 能 够 自动 打开 电源 启动 计算 机 。 这 使 得 攻击 者 可 能 在 用 户 毫 无 察觉 的 
情况 下 自动 处 理 用 户 预 先 设 定 的 任务 或 者 非法 访问 用 户 计算 机 。 


C 


Sax 固件 BIOS 安 全 漏洞 及 威胁 研究 63 


3. ChipAwayVirus 漏洞 


ChipAwayVirus 是 由 Symantic 开发 ,由 主板 厂商 集成 在 BIOS 中 的 反 引 导 扇 区 
病毒 模块 。 该 模块 对 某 些 正 常 引 导 分 区 会 错误 报警 ,阻止 系统 分 区 或 引导 ,特别 会 引 
i LILO fll Linux 的 引导 及 安装 失败 ,导致 用 户 无 法 正常 使 用 计算 机 。 


4. 磁盘 恢复 精灵 漏洞 


磁盘 恢复 精灵 是 主板 厂商 集成 在 BIOS 中 的 磁盘 操作 系统 备份 和 恢复 模块 。 磁 
盘 恢 复 精灵 模块 存在 设计 缺陷 ,工作 不 稳定 ,只 支持 微软 的 操作 系统 文件 格式 ,不 支 
持 UNIX 和 Linux 的 文件 格式 , 某 些 情况 下 恢复 操作 可 能 导致 用 户 磁盘 数据 被 破坏 ， 
导致 用 户 数据 丢失 。 


5. Phoenix Net 漏洞 


Phoenix Net 模块 是 由 BIOS 厂商 Phoenix 开发 并 集成 在 BIOS 中 的 模块 。 该 模 
块 具备 在 线 网 络 验证 、 网 络 下 载 上 传 功能 。 有 暴露 网 络 计算 机 用 户 个 人 隐私 、 网 络 行 
为 习惯 的 嫌疑 。 


6. BIOS 弱 口 令 漏 洞 


该 漏洞 存在 于 目前 市 场 上 的 主流 Award 和 Phoenix 各 个 版 本 的 BIOS 产品 中 。 
BIOS Setup 口令 和 开机 口令 密码 进行 简单 的 转换 后 被 存储 ,存在 不 同 的 口令 密码 
转换 后 结果 相同 的 现象 ,因此 很 容易 经 过 有 限 次 密码 转换 尝试 后 ,找到 可 替代 口 
令 。 而且 这 些 BIOS 产品 ,很 多 都 设置 了 通用 口令 ,如 Award 通用 密码 有 j256、 
LKWPPETER,AWARD SW.AWI 通用 密码 有 AMI, BIOS, PASSWORD, AMI SW, 
LKWPETER,A. M.I。 这 种 通用 口令 ,甚至 可 以 看 做 厂商 设置 的 后 门 。 


7. CVE-2002-2059 


该 安全 漏洞 存在 于 Intel 的 DB45BG. D845HV,D845PT, D845WN 主板 的 BIOS 
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中 。 在 BIOS 上 电 自 检 过 程 中 ,用 户 可 以 使 用 F8 键 来 修改 计算 机 引导 设备 (如 软盘 
引导 、 硬 盘 引 导 光驱 引导 、 网 络 引导 等 ) 的 引导 顺序 ,而 不 受 预 设 的 超级 用 户 密码 和 
用 户 权限 级 别 的 限制 。 

这 使 得 攻击 者 能 够 通过 改变 引导 设备 的 顺序 ,在 计算 机 上 安装 不 同 的 操作 系统 ， 
或 改变 引导 分 区 的 内 容 ,或 访问 计算 机 硬盘 中 文件 系统 的 内 容 。 


8. CVE-2005-0963 


该 安全 漏洞 存在 于 东芝 (Toshiba) ACPI BIOS 1. 6 产品 中 。 通 常 硬盘 的 主 引 
导 分 区 MBR(Master Boot Record) 最 多 可 包含 4 个 引导 项 ,每 个 引导 项 都 可 能 成 
为 活动 分 区 (Active Partition) 而 允许 引导 安装 在 该 分 区 上 的 操作 系统 。 而 该 型 号 
的 BIOS 产品 在 实现 中 代码 出 现 逻 辑 错 误 , 导 致 每 次 计算 机 引导 时 只 检查 分 区 表 
中 的 第 一 个 分 区 是 否 为 活动 分 区 ,而 忽略 随后 其 他 分 区 活动 状态 的 循环 检查 。 
这 样 , 即 使 是 正确 的 分 区 表 , 也 可 能 导致 计算 机 系统 不 能 正常 引导 启动 进入 操作 
这 个 安全 漏洞 可 能 会 导致 对 计算 机 系统 的 拒绝 服务 攻击 。 


9. CVE-2005-4175 


该 安全 漏洞 存在 于 系 微 (Insyde) 的 V190 BIOS 产品 中 。 在 系统 进入 操作 系统 
后 ,BIOS 没有 清除 用 户 输入 的 键盘 缓冲 区 内 存 中 存放 的 BIOS 密码 ,密码 以 明文 形 
式 仍然 存在 于 BIOS 数据 区 (BIOS Data Area, BDA) 中 的 0xle 偏 移 处 的 键盘 缓冲 
区 中 。 

可 通过 直接 读 取 物理 内 存 的 内 容 获取 BIOS 密码 ,导致 BIOS 密码 泄露 。 


10. CVE-2005-4176 


该 安全 漏洞 存在 于 AWARD BIOS Modular 4. 50pg 产品 中 。CVE-2005-4176 同 
CVE-2005-4175 是 同一 漏洞 现象 ,只 是 存在 于 不 同 的 BIOS 产品 中 。 
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4.4 ”固件 BIOS 安全 威胁 分 析 


本 书 对 BIOS 的 安全 威胁 进行 分 类 研究 ,通过 剖析 3 起 典型 的 BIOS 安全 威胁 作 
用 机 制 和 原理 ,以 期 对 固件 BIOS 的 安全 保护 起 到 借鉴 .参考 和 启发 作用 。 


4.4.1 固件 BIOS 安全 威胁 的 分 类 


本 书 将 BIOS 安全 威胁 按照 不 同 的 来 源 分 为 两 类 : 内 部 威胁 和 外 来 威胁 。 内 部 
威胁 来 自 BIOS 自身 ,是 由 于 BIOS 自身 扩充 功能 设计 障碍 导致 本 地 计算 机 硬件 、 磁 
盘 数 据 或 系统 软件 造成 损害 ,或 配置 项 目 不 当 被 攻击 者 利用 ,或 编程 不 严谨 造成 信息 
泄露 等 ; 外 来 威胁 来 自 BIOS 外 部 ,主要 是 外 部 攻击 者 向 BIOS 存储 芯片 中 植 入 的 恶 
意 代 码 ,或 向 BIOS 固件 发 动物 理 攻 击 导致 BIOS 系统 拒绝 服务 等 。 

按照 BIOS 安全 威胁 作用 机 制 的 不 同 ,又 将 BIOS 安全 威胁 进一步 归纳 为 5 种 类 型 。 


1. BIOS 功能 障碍 


BIOS 厂商 或 主板 厂商 在 BIOS JF Az aE feb «dh T GE HEAR s X BIOS 提供 的 
功能 在 特定 情况 下 出 现 障碍 ,对 计算 机 系统 或 数据 造成 一 定 的 破坏 。 如 集成 在 BIOS 
中 的 ChipAwayVirus 防 引导 扇 区 病毒 模块 会 错误 识别 分 区 信息 ,导致 Linux 操作 系 
统 装载 软件 失败 ; 磁盘 恢复 精灵 模块 在 某 些 情况 下 会 造成 硬盘 恢复 失败 和 数据 丢 
失 ; Toshiba ACPI BIOS 1.6 产品 在 检查 磁盘 活动 分 区 时 只 检查 MBR 的 第 一 个 分 区 
目录 项 ,导致 许多 正确 的 MBR 分 区 不 能 正常 启动 。 


2. BIOS 配置 漏洞 


用 户 本 地 计算 机 BIOS 配置 不 合理 ,导致 攻击 者 可 以 通过 网 络 远程 对 用 户 本 地 计 
算 机 的 某 些 BIOS 选项 重新 设置 ,进而 配合 使 用 工具 软件 完成 对 本 地 计算 机 的 远程 存 
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取 和 控制 。 典 型 的 配置 漏洞 包括 允许 对 计算 机 远程 开机 、 唤 醒 、 允 许 控 写 BIOS Boot 
Block 区 等 。 


3. BIOS 信息 泄露 


存储 在 CMOS 中 的 BIOS 配置 信息 没有 受到 任何 保护 ,通过 L/O 端口 可 以 读 写 
这 些 配置 数据 ,可 能 被 恶意 者 利用 这 些 数据 进行 主机 攻击 或 控制 。 例 如 : Award 
BIOS 在 引导 操作 系统 后 ,并 没有 清除 内 存 缓冲 区 中 的 BIOS 密码 信息 ,恶意 者 通过 读 
取 物 理 内 存 可 以 获取 计算 机 BIOS Setup 密码 和 开机 密码 。 


4. BIOS 物理 攻击 


攻击 者 使 用 软件 工具 直接 改写 或 擦 除 flash 芯片 存储 的 内 容 导致 计算 机 不 能 正 
常 启动 ,从 而 形成 对 BIOS 系统 的 拒绝 服务 攻击 。CIH 病毒 是 这 种 物理 攻击 的 典型 
案例 。 在 微软 系列 操作 系统 以 及 Linux 操作 系统 环境 下 ,都 存在 这 样 一 些 专用 或 通 
用 的 BIOS flash 读 写 工具 软件 ,如 Awdflash、WinFlash、uniflash 等 。 


5. BIOS 恶意 代码 


存储 BIOS 系统 的 flash 芯片 可 以 在 操作 系统 环境 下 使 用 软件 方式 进行 读 写 操 
作 , 而 flash 芯片 中 往往 又 会 空余 几 十 KB AJLA KB 的 空间 ,恶意 攻击 者 利用 这 两 个 
条 件 就 可 以 将 经 过 包装 的 恶意 代码 植 人 到 存储 BIOS 的 Flash 芯片 中 ,并 通过 合适 的 
BL itil (#3 EA TE BIOS 中 的 恶意 代码 能 够 在 BIOS 或 操作 系统 运行 过 程 中 获取 对 系 
统 的 控制 权 。 

BIOS 功能 障碍 .配置 漏洞 .信息 泄露 属于 BIOS. 内 部 威胁 ,而 BIOS 物理 攻击 、 
BIOS 恶意 代码 则 属于 外 来 威胁 。 


4.4.2 CIH 病毒 对 固件 BIOS 破坏 分 析 


早 在 1998 年 7 月 26 日 ,CIH 恶性 病毒 就 已 经 在 美国 开始 大 面积 肆虐 。1998 年 
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8 月 26 日 ,该 病毒 人 侵 中 国 。1999 年 4 月 26 日 ,CIH 全 球 大 面积 爆发 ,导致 大 量 的 
PC 停止 工作 ,用 户 数据 遭 到 严重 破坏 。 

CIH 病毒 发 作 时 其 中 的 一 种 破坏 行为 是 直接 向 计算 机 主板 固件 BIOS 芯片 中 和 
硬盘 中 写 乱码 ,破坏 力 非常 大 ,可 造成 主机 无 法 启动 ,硬盘 数据 全 部 被 清洗 ,大 量 重 要 
资料 无 法 复原 ,严重 者 甚至 连 计算 机 主板 硬件 也 不 得 不 更 换 。 

CIH 病毒 在 当时 是 一 种 全 新 概念 的 病毒 。 本 节 重 点 分 析 CIH 病毒 对 固件 BIOS 
攻击 的 原理 机 制 。 


1. CIH 攻击 固件 BIOS 的 机 制 


CIH 病毒 首先 在 Windows 系统 下 获取 RINGO 级 特权 ,使 得 病毒 代码 能 够 获取 
直接 对 物理 设备 和 端口 进行 操作 的 权限 。 病 毒 破坏 时 ,通过 主板 的 BIOS 端口 地 址 
OCFEH 和 0CFDH 向 BIOS 引导 块 (boot block) 内 各 写 入 一 个 字 节 的 乱码 ,乱码 直接 
导致 引导 代码 执行 错误 ,使 计算 机 主机 无 法 继续 完成 启动 过 程 。 其 后 CIH 病毒 的 变 
种 ,更 是 变本加厉 地 用 垃圾 信息 去 填充 整个 固件 BIOS 的 内 容 , 造 成 BIOS 代码 和 数 
据 的 彻底 破坏 。 由 于 这 种 破坏 发 生 在 固件 BIOS 芯片 内 部 ,因此 要 想 恢 复 , 必 须 使 用 
专业 方法 , 取 下 主板 上 的 BIOS 芯片 ,使 用 硬件 设备 重 写 主板 上 的 BIOS 芯片 中 的 代 

CIH 病毒 对 BIOS 的 攻击 采用 的 是 通过 直接 写 端 口技 术 实 现 的 。BIOS 采用 了 
flash 存储 芯片 flash 存储 芯片 允许 在 一 定 的 电压 下 ,利用 软件 方式 从 BIOS 端口 中 
读 出 和 写 人 数据 ,以 便 进 行 BIOS 程序 的 升级 更 新 。CIH 病毒 正 是 利用 闪存 的 这 一 
特性 , 往 BIOS 芯片 里 写 和 人 乱码 ,造成 BIOS 芯片 中 的 原 有 代码 内 容 被 彻底 破坏 ,导致 
计算 机 无 法 启动 。 


2. CIH 攻击 固件 BIOS 原理 和 制约 因素 


分 析 CIH 病毒 对 BIOS 的 破坏 机 制 , 可 以 发 现 ,这 种 病毒 只 能 对 部 分 特定 的 
BIOS flash 进行 破坏 。 其 破坏 技术 受到 两 个 方面 因素 的 制约 : BIOS flash 芯片 的 改 
写 类 型 和 读 写 端口 地 址 。 
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个 人 计算 机 上 用 来 保存 BIOS 程序 的 flash ROM 擦 写 技术 可 以 分 成 两 种 类 型 。 

(1) 建立 在 Intel 公司 的 一 项 专利 技术 Boot Block 保护 概念 基础 之 上 的 擦 写 技 
术 , 使 用 此 类 技术 的 一 般 都 是 Intel 公司 出 的 flash ROM 芯片 ,如 常见 的 Intel 28F0 
芯片 。 这 种 BIOS flash 芯片 通常 包含 两 个 电压 接口 ,其 中 十 12V 一 般 用 于 Boot 
Block 的 改写 。Boot Block 为 一 特殊 的 区 块 , 它 主 要 用 于 保存 一 个 最 小 的 BIOS 用 以 
启动 最 基本 的 系统 之 用 。 当 flash ROM 中 的 其 他 区 块 内 的 数据 被 破坏 时 ,只 要 Boot 
Block 内 的 程序 还 处 于 可 用 状态 , 则 可 以 利用 这 一 基本 的 BIOS 程序 来 启动 一 个 最 小 
化 的 系统 。 一 般 情况 下 ,起 码 应 当 支 持 软 盘 的 读 写 以 及 键盘 的 输入 ,这 样 就 有 机 会 使 
用 软盘 来 重新 构建 整个 flash ROM 中 的 数据 。 一 般 的 主板 上 均 包含 有 一 个 专门 的 跳 
线 , 用 来 确定 是 否 给 此 flash ROM 芯片 提供 十 12V 电压 ,只 有 需要 修改 flash ROM 中 
Boot Block 区 域内 的 数据 时 , 才 需 要 短 接 此 跳 线 ,以 提供 十 12V 电压 。 另 外 一 路 电压 
为 十 5V 电压 , 它 可 以 用 于 维持 芯片 工作 ,同时 为 更 新 flash ROM 中 非 Boot Block 区 
域 提 供 写 人 电压 。 也 就 是 说 ,主板 上 的 十 12V 跳 线 是 为 了 防止 更 新 flash ROM 中 的 
Boot Block 区 域 而 设置 的 ,如 果 想 升级 BIOS, 而 此 升级 程序 只 需要 更 新 Boot Block 
区 域 以 外 的 BIOS 程序 , 则 主板 上 的 跳 线 根本 没 必 要 去 跳 , 因 为 更 新 Boot Block 区 域 
以 外 的 数据 并 不 需要 十 12V 电压 。 这 样 , 即 使 升级 失败 ,也 还 存在 着 一 个 Boot Block 
中 的 最 基本 BIOS 可 以 使 用 ,这 样 就 可 以 使 用 软盘 来 恢复 原先 的 BIOS 映像 (一 般 在 
升级 的 时 候 , 都 会 提示 用 户 保存 当前 的 BIOS 内 容 映像 ) 。 

如 果 用 户 不 小 心 使 主板 上 的 跳 线 处 于 短 接 状 态 , 即 flash ROM 芯片 已 经 有 
十 12V 电压 了 , 则 这 时 候 Boot Block 内 容 也 是 可 以 采用 软件 方式 改写 的 。 

(2) 无 Boot Block 保护 的 flash Rom, 其 芯片 所 有 内 容 在 十 5V 的 单一 电压 下 就 
可 以 进行 改写 ,如 Atmel, SST, Winbond 等 公司 生产 的 flash 芯片 。 

可 见 , 如 果 主 板 上 存在 BIOS flash 芯片 的 保护 跳 线 , 则 病毒 只 能 对 Boot Block 之 
外 的 其 他 BIOS 内 容 造 成 损坏 ,否则 病毒 就 可 以 对 BIOS 的 全 部 内 容 造成 损坏 。 

即使 如 此 ,CIH 病毒 也 只 能 对 少数 类 型 的 主板 上 的 flash BIOS 芯片 构成 威胁 。 
这 是 因为 ,CIH 采用 直接 读 写 端口 地 址 技术 改写 BIOS 芯片 内 容 , 而 不 同 主板 的 
BIOS 端口 地 址 各 不 相同 。CIH 病毒 受到 自身 代码 尺寸 的 限制 ,不 可 能 智能 检测 


c F 
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BIOS flash 类 型 并 包含 所 有 种 类 的 flash 芯片 端口 地 址 数据 。 另 外 ,这 些 端口 地 址 往 
往 是 商业 技术 秘密 ,只 在 少数 芯片 组 厂商 .BIOS 厂商 、 主 板 厂商 之 间 共 享 ,其 他 人 很 
难 了 解 到 这 些 数据 。 

以 上 分 析 ,可 见 CIH 对 BIOS 固件 的 攻击 ,主要 是 以 flash 芯片 替换 原来 不 可 软 
件 改写 的 ROM 芯片 导致 的 结果 。 但 flash 芯片 的 使 用 , 既 有 商业 利益 的 驱使 ,也 有 
科学 技术 发 展 和 BIOS 自身 需求 的 驱使 。 倒 退 到 原来 的 不 可 软件 改写 的 ROM 已 是 
不 可 能 。 要 保护 BIOS 固件 的 安全 ,只 能 探索 新 的 途径 。 


4.4.3 PhoenixNet 分 析 


自 1999 年 始 , 美 国 BIOS 厂商 Phoenix 公司 对 其 BIOS 产品 实施 了 一 个 称 作 凤凰 
Wi (PhoenixNet) AY E F9 。 该 项 目 通过 在 BIOS 固件 中 嵌入 一 个 代码 模块 ILS 
(nternet Launch System) ,试图 帮助 用 户 更 方便 地 使 用 凤凰 网 提供 的 服务 ,如 为 用 户 
自动 侦 测 网 络 连接 .启动 Web 服务 .自动 下 载 服务 软件 包 并 安装 执行 等 。 

本 节 对 包含 PhoenixNet 的 BIOS 固件 产品 进行 了 实验 研究 。 实 验 中 采用 的 相关 
产品 型 号 如 下 。 

主板 : VIA694ProB(DMA100) 

BIOS 产品 时 间 : 10/31/00 

BIOS 产品 类 型 : Phoenix Award Modular BIOS v6. 00PGN 

BIOS 产品 序列 号 : 10/31/2000-694X-686B-6 A6LJL1BC-00 

操作 系统 : Windows 98, Windows 2000 Professional, Windows XP 

实验 现象 表明 ,PhoenixNet 的 ILS 在 Windows 98 操作 系统 下 才 会 被 激活 ,而 在 
Windows 2000 和 Windows XP 操作 系统 下 则 不 会 被 激活 使 用 。 

实验 结果 表明 ,PhoenixNet 的 BIOS 固件 在 操作 系统 运行 后 ,能 够 自动 执行 BIOS 
芯片 中 的 一 个 代理 程序 ,该 程序 向 远 端 服务 器 (服务 器 域名 为 www. seqdl. com) 上 传 
BIOS 固件 产品 验证 信息 ,通过 验证 后 从 服务 器 下 载 一 个 seginstall. exe 程序 到 本 地 
计算 机 上 并 执行 该 程序 。 
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进一步 对 PhoenixNet 的 BIOS 产品 进行 剖析 可 以 发 现 ,嵌入 在 Phoenix BIOS j^ 
品 中 的 ILS 是 一 个 大 小 为 87KB 的 独立 BIOS 程序 模块 ,模块 名 为 rosupd. rom, fil 
用 Phoenix 公司 提供 的 BIOS 映像 文件 编辑 工具 cbrom, exe 可 以 从 BIOS 映像 文件 
中 提取 或 删除 该 模块 ,也 可 将 提取 出 的 该 模块 谋 入 到 其 他 不 包含 该 模块 的 Phoenix 
BIOS 产品 中 ,从 而 使 该 产品 具备 PhoenixNet 功能 。 

实验 中 通过 对 PhoenixNet 安装 前 后 硬盘 文件 系统 变化 的 跟踪 比较 可 以 发 现 ， 
BIOS 中 的 ILS 模块 在 Windows 98 系统 初次 安装 后 ,就 从 BIOS flash 中 释放 到 
Windows 系统 目录 \WINDOWS\SYSTEM\ 下。 释放 后 的 内 容 包 含 5 个 文件 : 
PTLSEQ. CPL,PTLSEQ. DAT,PTLSEQ. MET、PTLSEQ. RCL、PTLSEQ. REP, 执 
行 的 入 口 点 是 一 个 Windows 控制 面板 程序 PTLSEQ. CPL。 

进一步 研究 分 析 BIOS 中 的 ILS 模块 可 以 发 现 , 该 模块 是 一 个 压缩 模块 ,没有 任 
何 可 以 在 BIOS 运行 阶段 直接 执行 的 代码 。 因 此 可 以 判断 ,flash 芯片 中 的 ILS 模块 
向 操作 系统 (或 硬盘 ) 中 释放 并 自动 执行 的 过 程 ,是 由 操作 系统 主动 完成 的 , 即 由 操作 
系统 把 该 模块 从 BIOS 中 * 拉 ”入 到 操作 系统 (或 硬盘 中 )。 此 处 将 这 种 嵌入 在 BIOS 
中 的 操作 系统 程序 释放 到 操作 系统 (或 硬盘 中 ) 的 技术 称 为 “ 拉 (pullb) ”技术 ,以 便 同 本 
书后 面 提出 的 “ 推 (push) ”技术 相 区 分 。 而 由 于 Windows 2000 和 Windows XP 不 再 
支持 对 PhoenixNet 的 pull. ALA AL PhoenixNet 模块 的 BIOS 产品 在 安装 这 两 种 
操作 系统 时 不 再 生效 。 

尽管 Phoenix 公司 声称 PhoenixNet 计划 是 为 了 向 计算 机 用 户 提 供 更 多 更 方便 
的 网 络 服务 ,但 由 于 嵌入 在 BIOS 中 的 ILS 模块 具有 远程 安装 ,控制 . 回 传 .定位 等 功 
能 , 遭 到 广泛 的 抵制 和 批评 ,Phoenix 公司 最 终 被 迫 终止 了 PhoenixNet 项 目 。 

PhoenixNet 给 出 的 新 的 安全 启示 是 : BIOS 固件 层 的 代码 或 代理 程序 (Agent)， 
可 用 于 实施 对 操作 系统 自身 或 操作 系统 层 的 系统 保护 或 攻击 。 


4.4.4 ACPI BIOS rootkit 和 PCI rootkit 分 析 


著名 的 信息 安全 机 构 SANS 在 文献 [56] 中 将 rootkit 定义 为 : rootkit 是 攻击 者 
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用 来 隐藏 自己 的 踪迹 和 保留 计算 机 或 网 络 系统 的 管理 员 级 root 访问 权限 的 工具 。 入 
侵 者 入 侵 后 往往 会 进行 清理 脚印 和 和 留 后 门 等 工作 ,最 常 使 用 的 后 门 创建 工具 就 是 
rootkit。 它 是 入 侵 者 在 人 侵 了 一 台 主 机 后 ,用 来 做 创建 后 门 并 加 以 伪装 用 的 程序 包 ， 
这 个 程序 包 里 通常 包括 了 日 志清 理 器 、 后 门 等 程序 。rootkit 通常 存储 在 系统 硬盘 上 ， 
混杂 于 操作 系统 、 应 用 程序 等 文件 中 ,难于 检测 ,难以 清除 。 

2006 年 Black Hat 会 议 上 ,英国 Next-Generation 安全 软件 公司 首席 安全 顾问 
John Heasman 阐述 了 一 种 新 的 rootkit ER, FEI John Heasman 的 方法 ,黑客 可 
以 利用 “高 级 配置 和 电源 管理 接口 "(ACPI) 及 其 编程 语言 ASL (ACPI Source 
Language)/AML(ACPI Machine Language) 在 主板 BIOS 闪存 芯片 中 隐藏 rootkit 恶 
意 代码 ,黑客 甚至 能 够 利用 自己 编写 的 恶意 功能 取代 ACPI 中 的 正常 功能 。 这 类 固 
件 BIOS rootkit 攻击 的 危害 是 : 系统 重启 对 它 没 有 任何 作用 ,在 硬盘 上 无 法 探测 到 
它 , 即 使 重新 格式 化 硬盘 或 重新 安装 操作 系统 也 不 会 对 它 有 任何 影响 。 

2007 年 Black Hat 会 议 上 ,John Heasman 继续 阐述 其 对 固件 rootkit 技术 的 研 
究 成 果 , 这 一 次 他 将 rootkit 技术 应 用 到 了 主板 PCI 板 卡 的 OPROM TA f£ rp? 。 利 
用 部 分 PCI 扩 展 卡 上 的 flash ROM 允许 使 用 软件 进行 改写 的 特点 ,在 PCI 扩展 卡 上 
flash ROM 中 嵌入 rootkit 代码 。 当 BIOS 运行 时 ,会 自动 搜索 发 现 PCL IG ,并 将 所 
发 现 的 PCI 扩 展 ROM 内 容 拷贝 到 内 存 0XC0000-0xC7FFF( 视 频 ROM) BK 0xC8000- 
0xEFFFF( 非 视频 ROM) 处 ,从 扩展 ROM 内 容 第 3 个 字 节 处 开始 执行 扩展 ROM 代 
码 。 标 准 的 Option ROM 代码 格式 为 : 


Signature db 55h,0aah ;ROM 标志 

Length db? ;ROM 长 度 ,以 512 字 节 为 单位 
Jmp near ptr Start ;人 口 代码 

Reserved db 20 dup(0) 

Start: ;代码 从 这 里 开始 


下 面 重点 分 析 ACPI BIOS rootkit 作用 机 制 和 原理 。 
有 必要 首先 分 析 一 下 系统 BIOS 中 ACPI 相关 内 容 与 操作 系统 中 ACPI 相关 内 
容 之 间 的 互 作用 机 制 ,ACPI BIOS rootkit 正 是 利用 这 种 互 作 用 机 制 实现 其 隐藏 于 
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BIOS 中 ,而 执行 于 操作 系统 环境 下 。 
1. ACPI #(ACPI Table) 


ACPI REIA ACPI 标准 的 操作 系统 和 系统 固件 BIOS 之 间 的 主要 接口 。 跟 硬 
件 配置 和 电源 管理 相关 的 系统 信息 、 特 性 和 控制 方法 都 存储 ACPI 表 中 , 表 中 的 内 容 
根据 需要 由 BIOS 代码 动态 收集 或 厂商 静态 指定 存储 。 


2. OSPM 模块 


在 符合 ACPI 规 范 的 操作 系统 中 ,有 一 个 模块 被 称 为 OSPM (Operating System- 
directed configuration and Power Management) 。 该 模块 是 操作 系统 中 处 理 ACPI 的 
核心 模块 ,负责 提供 对 ACPI 定 义 的 属性 和 方法 的 支持 ,包括 使 用 固件 BIOS 提供 的 
接口 在 内 存 中 定位 ACPI 表 、 解 释 执行 AML 代码 、 利 用 ACPI 表 中 的 内 容 列 举 和 配 
置 主板 上 的 设备 等 。 在 BIOS 固件 中 隐藏 的 ACPI rootkit 就 是 由 操作 系统 的 OSPM 
解释 执行 的 。 

通过 ACPI 表 ,OSPM 可 以 透明 地 控制 系统 设备 ,而 无 需 知 道 设 备 控制 实现 的 
细节 。 

ACPI 表 实际 上 是 多 个 表 的 链 结构 的 集合 ,保存 在 系统 RAM 空间 ,其 内 容 在 操 
作 系 统 运行 期 间 一 直 被 保留 。 其 中 ,根系 统 描述 指针 RSDP(Root System Description 
Pointer) 结 构 是 所 有 其 他 表 的 目录 结构 ,是 OSPM 访问 ACPI 表 的 入 口 , 如 图 4.1 
Smo, 

对 于 传统 BIOS. OSPM 通过 在 0E0000h 到 OFFFFFh 之 间 以 16 字 节 对 齐 方 
式 搜 索 RSDP 结构 的 标志 字符 串 RSD PTR 来 获取 ACPI 表 的 入 口 ,通过 INT 15h 
的 E820h 功能 确定 ACPI 表 占用 的 系统 保留 内 存 空间 I; 对 于 EFI BIOS. OSPM 
通过 EFI 系统 表 (EFI System Table) 获 取 ACPI 表 的 入 口 ,通过 EFI 定 义 的 标准 
引导 服务 (boot services) GetMemoryMap O Wi 4E. ACPI 表 占用 的 系统 保留 内 存 


空间 5,50,51,59 。 
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Root System Extended System 
Description Pointer Description Table 


Pointer 
Pointer Entry 
contents contents 
Entry 
Entry 
Fixed ACPI Differentiated System Firmware ACPI 
Control Structure 


Description Table Description Table 


Wake Vector 


Shared Lock 
Static info 
FIRM Differentiated 
DSDT Definition ACPI 
BLKs Block Driver 
图 4.1 ACPI 表 


3. ASL/AML 语言 


ASL(ACPI Source Language) 语 言 是 用 于 定义 ACPI 对 象 及 其 控制 方法 的 源 语言 ， 
通过 编译 器 (例如 微软 的 ASL 编译 器 ) 编 译 生成 AMLCACPI Machine Language) 代 码 。 

ASL 属于 高 级 编程 工具 语言 ,代码 编写 容易 ,而 且 具 备 强大 的 访问 能 力 ,如 直接 
访问 物理 L/O 端口 .系统 内 存 `.PCI 配 置 寄 存 器 .CMOS 内 容 等 。 

John Heasman 演示 的 ACPI BIOS rootkit 正 是 利用 了 上 述 的 APCI 特性 ,通过 
使 用 ASL 语言 编写 一 个 rootkit. RE ASL 代码 中 包含 精心 设计 的 shellcode, 将 这 样 
的 rootkit FPERRA E BIOS 芯片 中 。 当 操作 系统 运行 后 ,OSPM 会 通过 ACPI 表 
自动 解释 执行 从 BIOS 中 释放 到 内 存 中 的 ACPI rootkit 代码 。 

当然 ,ACPI rootkit 能 够 成 功 的 前 提 , 是 攻击 者 有 机 会 并 且 有 能 力 将 ACPI 
rootkit f A 8l BIOS flash 中 。 这 个 问题 在 John Heasman 的 报告 中 没有 涉及 。 本 书 
后 续 4. 6 节 内 容 将 对 这 一 问题 进行 曾 述 。 
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4.5 操作 系统 对 BIOS 固件 服务 的 引用 研究 


固件 BIOS 代码 的 运行 要 早 于 操作 系统 代码 的 运行 ,其 运行 路 径 为 : 
BIOS 一 > OS Loader 一 > OS 


在 操作 系统 运行 后 ,BIOS 代码 的 运行 就 告 一 段落 。 但 是 ,操作 系统 运行 起 来 后 ， 
并 不 是 同 BIOS 代码 完全 脱离 开 ,而 是 存在 某 些 运行 依赖 关系 。 研 究 BIOS 同 操作 系 
统 的 引用 交互 机 制 ,对 于 探索 通过 BIOS 对 操作 系统 提供 保护 的 安全 机 制 ,或 者 在 
BIOS 和 操作 系统 间 建 立 安全 通道 ,阻止 来 自 系 统 底层 或 上 层 的 安全 威胁 ,从 而 保护 
计算 机 系统 的 整体 安全 ,是 一 条 重要 的 路 径 。 

总 结 起 来 ,固件 BIOS 为 操作 系统 提供 的 服务 分 为 代码 和 数据 两 部 分 ,从 这 两 部 
分 人 人手, 两 者 之 间 通 常 包括 以 下 4 种 代码 和 数据 交互 的 方式 。 

(1) BIOS 中 断 (BIOS Interrupts) 固件 BIOS 中 提供 了 大 量 的 中 断代 码 程序 ,这 
些 中 断 程 序 为 操作 系统 和 应 用 程序 提供 了 一 种 标准 的 功能 代码 调用 方式 。 因 此 ,无 
论 固件 类 型 和 操作 系统 类 型 如 何 , 中 断 程序 始终 是 固件 BIOS 为 操作 系统 提供 代码 服 
务 的 最 主要 形式 。 

(2) BIOS 32 服务 (BIOS 32 Services) ”传统 BIOS 中 为 32 位 的 操作 系统 和 设备 
驱动 提供 BIOS 层 的 32 位 代码 服务 。 虽 然 形成 了 一 些 规范 9, 但 很 快 被 淘汰 ,在 大 
li. BIOS 产品 中 未 提供 这 类 服务 ,一些 典型 的 商业 操作 系统 ,如 Windows 2000, 
Windows XP, Linux 等 在 其 运行 过 程 中 也 都 不 再 调用 这 类 BIOS 32 服务 。 

(3) ACPI 接口 这 是 BIOS 5j OS 间 交 互 的 一 种 重要 途径 ,ACPI 既 可 以 为 操作 
系统 和 固件 之 间 提 供 代码 交互 ,也 可 以 提供 动态 数据 方式 。 

(4) SMBIOS 接口 SMBIOS 内 容 中 包含 固件 和 操作 系统 之 间 的 动态 交互 数据 ， 
以 及 为 获取 SMBIOS 接口 信息 /结构 而 提供 的 固件 接口 程序 ,但 更 多 的 ,这 种 交互 方 
式 是 一 种 BIOS 固件 向 操作 系统 单 向 的 数据 交互 。 
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在 新 一 代 EFI 固件 和 较 新 的 操作 系统 产品 中 ,对 于 传统 BIOS 中 断 程序 来 讲 ,其 
使 用 和 地 位 日 益 下 降 , 只 是 为 了 保持 向 前 的 兼容 性 才 会 提供 (如 EFI 固件 中 的 CSM 
模块 ,就 专 为 提供 传统 BIOS 固件 中 断 程 序 服务 而 开发 )。 而 ACPI 接口 ,以 及 EFI 中 
新 定义 的 固件 服务 , 才 是 后 续 固件 系统 与 操作 系统 之 间 交 互 的 主流 方式 。 


4.5.1 BIOS 中 断 概 述 


对 于 80x86 系统 ,允许 最 多 存在 256 种 中 断 , 中 断 类 型 号 为 00h 一 OFFh。 由 硬件 
设备 产生 物理 信号 引发 的 中 断 称 为 硬 中 断 ,否则 称 为 软 中 断 。 在 内 存 的 最 低 1KB 空 
间 中 (00000h 一 000003FFh) 存 放 着 每 种 中 断 的 入口 地 址 (也 称 为 中 断 向 量 , 即 中 断 服 
务 程 序 的 起 始 地 址 ) ,该 地 址 指向 中 断 程 序 的 第 一 条 可 执行 指令 。 存 放 中 断 向 量 的 低 
LKB 内 存 空 间 称 为 中 断 向 量 表 。 每 个 中 断 用 一 个 中 断 类 型 号 来 代表 ,中 断 类 型 号 N 
和 其 对 应 的 中 断 向 量 在 中 断 向 量 表 中 地 址 Addr 的 对 应 关系 为 : Addr — 4* N。 

并 非 所 有 256 种 中 断 都 需要 实现 ,BIOS 只 根据 系统 运行 需要 实现 其 中 的 一 部 
分 ,其 他 中 断 可 由 软 硬 件 厂商 或 用 户 扩 充实 现 。 表 4. 1 列 出 了 Phoenix BIOS 4. 0 
Revision 6. 0 产品 所 实现 的 BIOS "wt 。 


表 4.1 Phoenix BIOS 4.0 实现 的 中 断 


中 断 类 型 号 (h) 中 断 向 量 表 地 址 (h) 中 断 描述 
02 8 不 可 屏蔽 中 断 
05 14 屏幕 打印 中 断 
06 18 286 LoadAll 句柄 
08 20 IRQ0 一 一 系统 定时 器 中 断 
09 24 IRQ1 一 一 键盘 中 断 
0B 2C IRQ3 一 一 COM2 中 断 
oc 30 IRQ4——COMI 中 断 
0D 34 IRQ5——LPT?2 中 断 
0E 38 IRQ6 一 一 软盘 中 断 


OF 3C IRQ7 —LPT1 中 断 
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续 表 

中 断 类 型 号 (h) 中 断 向 量 表 地 址 (h) 中 断 描述 

10 40 BIOS 视频 接口 

11 44 BIOS 设备 检查 

12 48 BIOS 内 存 请 求 

13 4C BIOS 磁盘 接口 

14 50 BIOS 串 行 接口 

15 54 BIOS 系统 功能 接口 

16 58 BIOS 键盘 接口 

17 5C BIOS 并 行 打印 机 接口 

18 60 BIOS 次 引导 请 求 

19 64 BIOS 主 引导 请 求 

1A 68 BIOS 系统 定时 器 接口 

1B 6C BIOS 的 CTRL+Break 中 断 

1C 70 BIOS 用 户 系统 定时 器 中 断 

1D 74 BIOS 视频 初始 化 参数 表 

1E 78 BIOS 磁盘 参数 表 

1F 7C BIOS 视频 图 形 字符 

40 100 BIOS 磁盘 

41 104 BIOS 固定 磁盘 0 参数 表 

46 118 BIOS 固定 磁盘 1 参数 表 

70 1C0 IRQ8 一 一 实时 时 钟 中 断 

71 1C4 IRQ9——IRQ? 重 定向 

74 1D0 IRQ12 一 一 PS2 鼠标 中 断 

75 1D4 IRQ13 一 一 数学 协 处 理 器 中 断 

76 1D8 IRQ14 一 一 主 IDE 硬盘 

77 1DC IRQ15 一 一 从 IDE 硬盘 


从 表 4.1 可 以 看 出 , Phoenix BIOS 实现 了 256 种 中 断 中 的 35 个 中 断 ,这 些 中 断 
既 有 响应 硬件 设备 初始 化 /操作 的 硬 中 断 ,也 有 为 系统 /用 户 调用 接口 实现 的 软 中 断 。 
其 他 传统 BIOS 产品 所 实现 的 中 断 与 表 4. 1 所 列 的 中 断 大 同 小 异 。 选 择 哪 些 中 断 的 
实现 ,并 没有 一 个 行业 的 标准 或 规范 对 此 有 所 规定 ,其 中 最 大 的 影响 因素 ,一 是 硬件 
设备 的 兼容 需求 ,二 是 软件 系统 特别 是 操作 系统 兼容 需求 的 发 展 。 
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4.5.2 Windows XP/2000 运行 依赖 的 BIOS rh lr 


不 同 的 操作 系统 对 BIOS 提供 的 中 断 使 用 和 依赖 程度 是 不 一 样 的 。 早 期 DOS 系 
统 , 其 实现 严重 依赖 于 BIOS, 包 括 DOS 中 断 int 21h 等 操作 系统 高 级 中 断 都 是 通过 
调用 底层 BIOS 中 断 来 实现 的 。 随 着 操作 系统 的 发 展 , 在 操作 系统 层 往往 会 用 一 些 执 
行 效率 更 好 ,更 能 有 效 发 挥 硬件 性 能 .更 完善 的 高 层 驱动 来 代替 底层 BIOS 驱动 和 中 
断 。 但 并 非 所 有 的 BIOS 中 断 在 操作 系统 层 都 可 以 替代 ,试验 证 明 , 现 有 的 操作 系统 ， 
在 其 运行 阶段 ,或 多 或 少 都 会 调用 BIOS 层 提供 的 中 断 程序 ,当然 其 保护 模式 下 实现 
HY "EAL til Ze AR BEE K 4. 2 列 出 了 Windows XP/2000 系统 在 运行 阶段 对 
BIOS 中 断 调用 的 统计 ,该 数据 根据 马里 兰 信息 系统 安全 试验 室 的 Adam Sulmicki 的 
研究 报告 中 整理 而 来 。 


表 4.2 Windows XP/2000 对 BIOS 中 断 调用 统计 


中 断 调用 次 数 中 断 调用 次 数 
pend 中 断 描述 (包括 功能 号 重复 调用 ) (删除 功能 号 重复 调用 ) 
Windows 2000 Windows XP Windows 2000 Windows XP 
10 BIOS 视频 接口 13 11 12 11 
11 设备 检查 1 1 1 1 
13 磁盘 接口 Lots Lots 6 5 
15 系统 功能 接口 ~22 22 ~4 8 
16 键盘 接口 12 5 2 2 
1A 系统 定时 器 接口 12 13 3 3 


由 此 可 见 ,操作 系统 启动 运行 后 ,仍然 要 依赖 于 BIOS 提供 的 某 些 中 断 功能 ,而 非 
完全 使 用 操作 系统 自身 的 代码 来 蔡 换 这 些 中 断 。 这 些 被 操作 系统 依赖 的 中 断 , 构 成 
T BIOS 与 操作 系统 之 间 代 码 执 行 的 一 个 通道 。 如 果 破 坏 这 个 执行 通道 ,或 者 算 改 这 
个 通道 中 的 部 分 代码 ,如 采用 中 断 钩子 (Hook) 技 术 ,将 可 能 引起 操作 系统 的 崩溃 FZ 
全 失效 或 不 可 信任 。 
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4.6 一 种 新 型 固件 BIOS 木马 


“木马 ”的 全 称 是 “特洛伊 木马 (Trojan Horse)”, 通 常 指 隐 藏 在 操作 系统 、 磁 盘 中 
实施 远程 监控 和 信息 窃取 的 恶意 程序 。 通 过 对 固件 BIOS. 安全 威胁 的 分 析 ,本文 提 出 
固件 BIOS 木马 的 概念 ,作为 一 个 例证 ,实现 了 一 种 固件 BIOS 木马 程序 。 

BIOS 木马 是 指 隐藏 存储 在 BIOS flash 芯片 中 的 木马 程序 。 普 通 木 马 隐 藏 存储 
在 硬盘 中 ,而 BIOS 木马 隐藏 存储 在 硬件 芯片 中 。BIOS 木马 既 能 实现 普通 木马 所 能 
实现 的 功能 ,又 具备 普通 木马 所 没有 的 优势 : BIOS 木马 不 受 计算 机 重 装 操作 系统 的 
影响 .不 受 计 算 机 硬盘 格式 化 的 影响 ,不 受 计算 机 更 换 硬盘 的 影响 .不易 被 现 有 的 查 
杀毒 软件 检测 和 清除 等 。BIOS 木马 一 旦 被 种 植 进 入 BIOS 中 ,只 能 通过 对 BIOS 固 
件 专门 消毒 才能 被 清除 。 因 为 BIOS 木马 具有 这 种 一 劳 永 逸 的 植 和 人 特点 ,BIOS 木马 
正 受 到 众多 黑客 的 青睐 。 但 由 于 BIOS 木马 实现 上 的 技术 难度 和 局 限 性 ,这 种 木马 目 
前 只 在 小 范围 内 使 用 和 存在 。 

BIOS 木马 技术 可 进一步 发 展 成 BIOS Agent 技术 ,通过 在 BIOS rp dig A (CHEE 
序 ,利用 BIOS 处 于 更 底层 .与 硬件 结合 更 紧密 的 特点 ,提供 对 计算 机 系统 更 为 可 靠 的 
定位 监控、 安全 保护 等 功能 。 


4.6.1 固件 BIOS 木马 的 封装 


木马 需要 封装 成 符合 格式 要 求 的 标准 BIOS 程序 模块 ,并 且 加 入 使 得 木马 能 够 被 
激活 的 “ 推 ” 或 “ 拉 ” 机 制 , 才 能 够 使 得 隐藏 在 BIOS 中 的 木马 模块 能 够 被 激活 并 在 操 
作 系统 运行 过 程 中 实现 监控 和 信息 窃取 行为 。 

BIOS 木马 模块 封装 采用 Shell-Stone 两 层 结构 。 外 层 的 Shell 是 符合 格式 的 
BIOS 模块 程序 ,内 层 的 Stone 是 一 个 普通 的 木马 程序 。Shell 的 主要 作用 是 在 BIOS 
执行 的 结束 阶段 获取 系统 控制 运行 权 , 将 自身 包容 的 Stone“ 推 ” 进 操作 系统 / 硬 
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盘 中 。 

市 场 上 现 有 的 不 同 固件 BIOS 产品 模块 程序 结构 各 不 相同 ,没有 统一 的 格式 标 
准 。 通 过 逆向 工程 的 方法 ,本 书 获取 到 如 图 4. 2 和 图 4. 3 的 Phoenix 4. 0 和 Award 
6.0 BIOS 产品 的 一 种 可 执行 模块 程序 的 结构 。 其 共同 特点 是 代码 和 数据 都 在 同一 
个 段 中 , 段 被 限制 为 64KB 大 小 。 


标识 : — DB'SINI&' 
入 口 代码 : PUSHAD 
模块 代码 和 数据 : eee 


返回 代码 : 


图 4.2 Phoenix 4.0 BIOS 可 执行 模块 程序 结构 


标识 : DB 55h, Oaah 
长 度 : DB? 
入 口 代码 : PUSHAD 
模块 代码 和 数据 : 
POPAD 
返回 代码 : RETF 


图 4.3 Award 6.0 可 执行 模块 程序 结构 


BIOS 木马 外 层 的 Shell 就 是 如 图 4. 2 和 图 4. 3 所 示 结 构 的 一 个 模块 程序 ,而 
BIOS 木马 的 Stone, 则 以 数据 的 形式 包含 在 Shell 模块 的 数据 部 分 。 当 Shell 获取 系 
统 控制 权 被 运行 时 ,会 将 包含 的 Stone* 推 ”出 ,然后 结束 自己 的 运行 ,将 系统 控制 权 交 
还 给 BIOS 自身 的 代码 ,继续 完成 操作 系统 的 装载 引导 过 程 。 
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4.6.2 固件 BIOS 木马 的 植 入 


黑客 在 利用 系统 漏洞 或 用 户 朴 忽 侵 入 系统 后 ,通常 将 木马 伪装 成 系统 服务 或 文 
件 , 或 者 将 木马 同 其 他 文件 捆绑 在 一 起 ,实现 木马 的 隐藏 存 储 。BIOS 木马 则 不 同 , 黑 
客 需 要 将 木马 写 人 到 BIOS flash 芯片 中 。 
BIOS 木马 的 植 入 包含 三 个 步骤 : 
CD 从 BIOS flash 芯片 中 读 出 BIOS 内 容 形 成 映像 文件 bios. rom。 映 像 文 件 长 
度 通常 和 BIOS flash 芯片 容量 一 致 ,典型 的 如 256KB、512KB 或 1024KB。 
(2) 计算 BIOS 映像 文件 中 的 空白 区 大 小 ,将 封装 好 的 BIOS 木马 模块 嵌入 到 
BIOS 映像 文件 中 空白 区 中 。 
CD 将 嵌入 木马 模块 的 BIOS 映像 文件 bios. rom 重新 写 入 到 BIOS flash ith 
片 中 。 
模块 程序 必须 按照 对 应 固件 产品 的 可 执行 模块 结构 封装 好 ,并 且 嵌 入 到 固件 
BIOS 映像 文件 中 后 ,要 保证 该 模块 在 BIOS 运行 过 程 中 能 够 被 调用 执行 。 调 用 执行 
模块 的 机 制 , 随 各 种 固件 产品 的 不 同 而 有 较 大 的 差异 ,如 Award 固件 产品 其 模块 执 
行 顺序 就 是 模块 顺序 存放 的 顺序 ,而 Phoenix 固件 产品 则 是 将 模块 链接 成 一 个 双向 
链表 ,按照 链表 中 模块 的 链接 顺序 来 执行 。 因 此 ,模块 写 入 固件 映像 文件 中 的 空白 区 
后 ,还 要 修改 相应 的 链表 结构 ,使 模块 能 在 正确 的 位 置 ,合适 的 阶段 被 执行 。 这 里 不 
青 一 一 著述 。 
这 里 重点 讨论 软件 实现 BIOS flash 芯片 读 写 的 方法 。 在 操作 系统 下 ,有 3 种 方 
式 可 实现 对 BIOS flash 芯片 内 容 的 读 写 操作 : 
* 针对 flash 芯片 进行 操作 ,这 需要 从 flash 芯片 厂商 获取 flash 芯片 的 
datasheet 资料 5 ; 
。 打开 南 桥 中 的 通道 ,直接 对 AGB 物理 内 存 的 最 高 端 进行 读 写 操作 ,因为 固件 
BIOS 内 容 被 映射 到 了 这 一 块 高 端 内 存 , 打 开 南 桥 中 的 开关 后 ,对 最 高 端 物理 
内 存 的 读 写 操作 ,实际 上 就 是 对 BIOS flash 芯片 的 读 写 操作 ; 
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+ 调用 BIOS 中 提供 的 SMI(System Management Interrupt) flash J) fig. Award 
和 AMI BIOS 厂商 在 其 BIOS 中 都 提供 了 对 BIOS 内 容 进行 读 写 操作 的 接口 ， 
Phoenix BIOS 则 没有 提供 该 种 操作 接口 。 
当然 ,在 保护 模式 下 的 操作 系统 中 要 想 实现 对 BIOS flash 芯片 的 操作 ,需要 
通过 编写 驱动 程序 的 方式 来 实现 。BIOS 厂商 通常 会 提供 BIOS flash 工具 帮助 用 
户 升 级 和 更 新 BIOS, 如 Award BIOS 的 Awardflash、winflash, Phoenix BIOS 的 
winphlash 等 。 
开源 软件 uniflash 则 是 一 个 兼容 性 很 强 、 包 含 大 多 数 flash 芯片 支持 的 BIOS 
flash 工具 。 


4.6.3 固件 BIOS 木马 的 激活 


BIOS 木马 的 激活 ,是 指使 得 隐藏 存储 在 BIOS flash 芯片 中 的 木马 ,在 BIOS 运行 
过 程 结 束 、 将 系统 控制 权 移 交 给 操作 系统 ,并 且 在 操作 系统 成 功 运行 后 ,BIOS 木马 能 
够 重新 获取 系统 控制 权 , 运 行 在 操作 系统 环境 下 ,完成 木马 应 用 的 功能 。 

本 书 将 BIOS 木马 的 激活 技术 分 为 两 类 : 推 (Push) 和 拉 (Pull)。 推 技术 是 指 在 
BIOS 运行 阶段 ,由 BIOS 木马 的 Shell 程序 将 木马 程序 Stone 释放 成 操作 系统 环境 下 
的 可 执行 程序 并 且 修改 操作 系统 配置 变量 ,使 得 该 木马 程序 能 够 在 操作 系统 启动 后 
自动 被 执行 。 拉 技术 是 指 BIOS 木马 的 Shell 程序 将 木马 程序 Stone 常 驻 在 内 存 中 ， 
并 将 其 设置 成 能 够 被 操作 系统 自动 扫描 调用 执行 的 驱动 程序 (如 ACPI 驱动 .PnP BK 
动 或 PCI 驱动 ) ,操作 系统 启动 后 .能 够 在 某 种 触发 条 件 满足 的 情况 下 ,自动 去 内 存 中 
找到 并 调用 执行 木马 Stone 程序 。 图 4. 4 演示 了 BIOS 木马 “ 推 "和 *“ 拉 ”技术 的 区 别 。 
图 中 Stone 到 动态 Trojan 的 实 线 箭 头 描 述 的 是 Push 方式 ,而 虚线 箭头 描述 的 是 Pull 
TX. 

John Heasman 的 ACPI Rootkit 是 * 拉 ?技术 的 典型 应 用 ,而 对 int 13h 的 Hook 
也 是 一 种 典型 的 “ 拉 ? 技 术 。 本 书 实现 的 BIOS 木马 采用 了 一 种 “ 推 ? 技 术 , 通 过 BIOS 
中 的 木马 Shell 对 硬盘 文件 系统 直接 进行 读 写 操作 ,将 BIOS 木马 的 Stone 部 分 替换 / 
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图 4.4 BIOS 木马 激活 的 Push/Pull 方式 


伪装 成 硬盘 中 的 系统 服务 文件 ,并 修改 操作 系统 启动 配置 ,使 得 Stone 木马 服务 在 开 
机 后 能 够 自动 运行 。 

如 果 将 木马 Stone 替换 成 安全 Agent, 则 上 述 技术 可 实现 基于 固件 对 操作 系统 和 
计算 机 系统 实施 安全 管理 、 监 控 \ 保 护 等 应 用 。 


4.7 本 章 小 结 


计算 机 固件 BIOS 承载 的 功能 持续 扩展 和 增强 ,以 及 新 技术 的 发 展 应 用 需求 的 持 
续 增 长 是 固件 BIOS 安全 漏洞 和 威胁 逐步 形成 并 呈 递 增 趋 势 的 主要 原因 。 本 章 首 次 
系统 地 指出 现 有 传统 固件 BIOS 产品 存在 的 部 分 安全 漏洞 及 其 危害 。 将 BIOS 安全 
威胁 按 威胁 来 源 分 为 内 部 威胁 和 外 来 威胁 两 大 类 , 按 作用 机 制 分 为 功能 障碍 .配置 漏 
il fi BUE SE ,物理 攻击 .恶意 代码 五 类 。 

本 章 分 析 归 纳 了 固件 BIOS 与 操作 系统 的 交互 性 ,包括 数据 传递 和 代码 调用 。 数 
据 传递 的 手段 有 : SMBIOS 类 、ACPI 表 、BDA、EBDA 等 。 代 码 调用 有 : ACPI 驱动 、 
中 断 。 这 种 交互 性 决定 了 固件 BIOS 与 操作 系统 之 间 存 在 安全 依赖 和 互动 关系 ,这 种 
关系 可 用 于 信息 战 攻防 的 两 个 方面 ,因此 对 固件 BIOS 安全 的 重要 性 和 基础 性 应 该 引 
起 足够 的 重视 。 本 书 提出 并 实现 的 一 种 新 型 BIOS 木马 很 好 地 证 明了 这 一 点 。 
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现 有 的 漏洞 扫描 软件 主要 用 于 发 现 主机 操作 系统 、 数 据 库 、 网 络 系 统 存 在 的 安 
全 漏洞 和 弱点 ,其 中 包括 系统 软件 本 身 存在 的 问题 ,也 包括 用 户 配 置 存在 的 失误 。 
防 病毒 软件 则 用 于 扫描 发 现 和 清除 主机 系统 感染 的 病毒 软件 ,包括 病毒 .蠕虫 . 森 
Uy ,流氓 软件 等 。 纵 观 这 些 技术 手段 和 产品 ,其 防护 和 检测 的 对 象 存 在 一 个 盲点 : 
固件 BIOS。 通 过 第 4 章 的 分 析 我 们 知道 ,在 计算 机 BIOS 系统 中 同样 存在 一 些 安 
全 漏洞 ,而且 针对 BIOS 系统 的 安全 攻击 和 威胁 呈 逐 年 增多 的 趋势 。 由 Intel 提出 
并 倡导 的 新 一 代 EFI BIOSCExtensible Firmware Interface) Kii F BIOS 系统 更 多 的 
功能 ,更 重要 的 角色 ,甚至 于 存在 一 种 趋势 : 将 来 的 操作 系统 将 成 为 运行 在 BIOS 
系统 环境 下 的 一 个 应 用 。 因 此 ,需要 一 种 能 够 对 固件 BIOS 系统 进行 安全 检测 的 
工具 。 

本 章 研 究 对 计算 机 BIOS 系统 进行 安全 检测 的 方法 和 技术 手段 ,包括 BIOS 系统 
的 漏洞 检测 和 BIOS 系统 中 恶意 代码 的 检测 ,并 介绍 本 书 开发 实现 的 一 种 计算 机 固件 
BIOS 安全 检测 系统 。 


96 计算 机 固件 安全 技术 


5.1 固件 BIOS 安全 检测 的 复杂 性 


第 4 章 分 析 的 结果 显示 ,计算 机 固件 BIOS 系统 的 安全 检测 ,应 当 包括 两 方 
面 的 内 容 : 一 是 扫描 和 发 现 BIOS 系统 可 能 存在 的 安全 漏洞 ,帮助 用 户 针对 这 些 
漏洞 采取 相应 的 补救 措施 ; 二 是 检测 BIOS 系统 中 是 否 存在 恶意 代码 ,识别 并 定 
位 这 些 恶 意 代码 ,并 能 够 在 不 影响 BIOS 系统 正常 使 用 功能 的 前 提 下 ,清除 这 些 
恶意 代码 。 

安全 漏洞 的 存在 ,通常 是 与 软件 或 系统 的 版 本 .补丁 状态 相关 的 。 对 安全 漏洞 的 
检测 ,需要 针对 不 同 的 安全 漏洞 ,提取 该 漏洞 存在 的 特征 ,包括 漏洞 代码 的 特征 、 漏 洞 
存在 的 环境 特征 (如 系统 或 软件 的 版 本 号 、 补 丁 状态 .配置 参数 等 ) ,建立 漏洞 库 , 通 过 
特征 匹配 的 方法 实现 对 漏洞 的 检测 。BIOS 系统 存在 于 flash 芯片 中 ,BIOS 漏洞 所 有 
特征 的 提取 ,无 论 是 代码 特征 还 是 环境 特征 ,只 能 通过 对 flash 芯片 的 二 进 制 映像 文 
件 的 分 析 得 到 。 

BIOS 中 恶意 代码 的 存在 则 有 多 种 情形 ,包括 对 原始 BIOS 代码 的 算 改 、 插 入 新 代 
码 .增加 新 的 非 标 准 BIOS 模块 等 。 同 一 个 厂家 的 BIOS 产品 ,由 于 BIOS 版 本 号 不 
T] .编译 日 期 不 同 、. 针 对 的 计算 机 厂商 品牌 和 使 用 的 主板 不 同 ,因此 BIOS 映像 文件 和 
包括 的 模块 也 不 完全 相同 。 即 使 是 版 本 号 完全 相同 的 BIOS 产品 ,由 于 编译 日 期 不 
同 ,主板 厂商 也 可 能 根据 平台 硬件 芯片 组 的 变化 作 了 代码 上 的 移植 修改 ,而 计算 机 厂 
商 为 了 增加 品牌 机 的 价值 ,也 会 对 BIOS 做 客户 化 ,在 BIOS 中 增加 新 功能 服务 。 通 
常 只 有 同一 厂家 的 同一 型 号 \、 同 一 批 次 的 计算 机 ,其 BIOS 产品 的 flash 映像 文件 才 有 
可 能 完全 相同 。 这 些 在 不 同 程度 上 增加 了 在 BIOS 中 检测 恶意 代码 的 难度 ,特别 是 使 
得 通过 采用 完整 性 比较 来 检测 恶意 代码 的 方法 基本 不 可 行 。 图 5. 1 显示 了 计算 机 
BIOS 产品 代码 的 演化 过 程 。 
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基础 BIOS 代 码 上 -一 一 一 | 主板 BIOS 代 码 三 -=| 主机 BIOS 代 码 
BIOS 厂 商 | L 平台 化 | i 客户 化 i 
主板 厂商 主机 厂商 


图 5.1 计算 机 BIOS 产品 代码 演化 过 程 


5.2 BIOS 安全 漏洞 库 


针对 计算 机 和 网 络 系统 有 两 种 可 用 的 安全 漏洞 自动 检测 方法 : 基于 漏洞 库 的 漏 
洞 扫描 ,以 及 基于 缺陷 注入 的 漏洞 测试 。 前 一 种 方法 要 求 在 发 现 漏洞 后 ,能 够 提取 漏 
洞 的 代码 特征 或 者 环境 特征 ,将 所 有 被 发 现 的 漏洞 及 其 特征 存储 成 漏洞 库 ,通过 特征 
匹配 的 方法 实现 漏洞 自动 扫描 所“ 。 基 于 缺陷 注入 的 漏洞 测试 则 是 通过 典型 
的 边界 输入 值 或 者 是 模拟 攻击 ,发 现 漏洞 的 存在 。 基 于 缺陷 注入 的 漏洞 测试 是 一 种 
动态 检测 方法 ,通常 需要 在 系统 或 软件 运行 过 程 中 才能 实施 。 基 于 漏洞 库 的 漏洞 扫 
描 则 是 一 种 静态 检测 方法 ,对 于 存储 在 flash 芯片 中 ,运行 于 操作 系统 之 前 的 底层 固 
件 BIOS 系统 来 说 ,基于 漏洞 库 的 漏洞 扫描 可 实施 性 更 好 。 


5.2.1 固件 BIOS 安全 漏洞 的 特征 提取 


BIOS 安全 漏洞 扫描 的 实现 依赖 于 安全 漏洞 库 。 漏 洞 库 决定 着 检测 结果 的 完备 
性 和 准确 性 。 完 备 性 依赖 于 漏洞 库 中 漏洞 的 数量 和 质量 ,而 准确 性 则 依赖 于 漏洞 库 
中 的 漏洞 特征 是 否 有 效 , 是 否 能 够 唯一 确定 和 识别 漏洞 ,而 不 会 出 现 大 量 的 错 报 和 
误 报 。 

通过 收集 不 同 BIOS 厂商 (主要 是 Phoenix 和 Award 的 BIOS) .不 同 计算 机 的 
BIOS 产品 样本 ,对 BIOS 二 进 制 映像 文件 进行 模块 分 解 , 解 压缩 ,利用 反 汇 编 技术 ( 主 
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要 采用 IDA Pro 工具 ) 进 行 漏洞 特征 分 析 、 提 取 、 验 证 ,最 终 获取 已 发 现 的 BIOS 安全 
漏洞 的 特征 。 漏 洞 特征 主要 包含 两 种 形式 : 特征 字符 串 和 特征 二 进 制 码 。 特 征 字符 
串通 常 包括 同 漏洞 存在 相关 联 的 字符 串 信 息 , 如 BIOS 的 版 本 号 .BIOS ID, BIOS J~ 
商 信息 、 表 格 头 部 特征 信息 、 提 示 和 界面 信息 等 。 特 征 二 进 制 码 则 是 通过 反 汇 编 从 模 
块 代码 中 提取 的 一 处 或 多 处 最 能 代表 漏洞 存在 的 二 进 制 指令 码 序列 。 在 BIOS 漏洞 
库 中 ,漏洞 的 特征 往往 是 以 多 个 特征 的 “与 ”组 合 构成 , 称 为 漏洞 的 特征 组 。 漏 洞 特征 
提取 涉及 的 BIOS 映像 文件 结构 分 解 工作 在 本 章 稍 后 描述 。 


5.2.2 固件 BIOS 安全 漏洞 的 表示 


MITRE 安全 组 织 定义 的 CVE 要 求 对 漏洞 和 脆弱 点 的 描述 必须 满足 以 下 几 
a 9. 列举 并 能 够 区 别 所 有 已 知 的 漏洞 ; 给 每 个 漏洞 分 配 一 个 标准 的 、 唯 一 的 名 
字 ; 在 漏洞 的 多 种 描述 方式 中 保持 独立 性 ; 保持 开放 和 共享 。CVE 格式 的 每 个 漏洞 
条 目 由 漏洞 标识 符 ,状态 、 引 用、 内 容 简 述 四 部 分 组 成 ,其 中 漏洞 标识 符 是 漏洞 的 唯一 
标识 。 

本 书 对 BIOS 漏洞 的 表示 方法 ,满足 CVE 对 漏洞 描述 要 求 ,根据 BIOS 映像 文件 
组 织 结构 的 特点 (如 模块 化 封装 、 压 缩 存储 等 ), 为 使 对 BIOS 系统 的 漏洞 扫描 在 实现 
上 更 具 效 率 ,更 准确 地 定位 漏洞 ,采用 6 元 组 描述 所 发 现 的 BIOS 安全 漏洞 ,建立 
BIOS 安全 漏洞 库 。 

一 个 BIOS 安全 漏洞 V 其 6 元 组 表示 为 : 


v={ 

Type, 漏洞 类 型 ; 
Name, 漏洞 名 称 ; 
Keys, 漏洞 特征 组 ; 


Modules, ”漏洞 关联 模块 ; 
Comments， 漏洞 描述 ; 
Propose, 漏洞 建议 ; 

}; 
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Keys= {keyi} i 一 0,1,2,…; 
Modules= {modulei} i=0,1,2, --- ; 


按照 可 能 造成 的 危害 程度 对 漏洞 进行 分 类 标记 ; 漏洞 特征 组 是 1 个 或 多 个 漏洞 
特征 构成 的 一 维 向 量 ; 漏洞 关联 模块 则 表明 ,在 漏洞 特征 的 提取 过 程 中 通过 分 析 得 
到 的 该 漏洞 所 涉及 的 那些 BIOS 模块 ,以 便 在 检测 过 程 中 能 够 实现 漏洞 的 快速 扫描 ， 
准确 定位 漏洞 所 处 的 代码 位 置 ; 漏洞 描述 包括 该 漏洞 的 危害 以 及 漏洞 利用 途径 ; 漏 
洞 建议 包括 对 漏洞 修补 的 方案 ,如 打 补 丁 、 修 改 配置 .升级 BIOS 系统 等 。 

利用 所 建立 的 BIOS 安全 漏洞 库 可 以 对 BIOS 实施 安全 漏洞 扫描 ,本 章 在 这 方面 
所 作 的 尚 是 一 些 基 础 性 的 研究 工作 ,更 多 BIOS 安全 漏洞 的 发 现 和 整理 , 则 需 随 着 
BIOS 安全 研究 的 深入 和 扩展 进一步 充实 ,以 求 能 够 更 全 面 、 更 准确 地 对 计算 机 BIOS 
系统 进行 漏洞 扫描 。 


5.3 基于 语言 的 固件 恶意 代码 检测 


基于 语言 的 安全 验证 一 直 是 安全 界 一 个 重要 的 研究 领域 , 同 完整 性 验证 维持 
信任 关系 的 方法 相 比较 ,语言 验证 可 用 于 动态 建立 安全 信任 关系 。 基 于 语言 的 安 
全 验证 是 指 , 当 从 一 个 非 信任 源 获 取 并 装载 可 执行 代码 时 ,在 代码 执行 前 ,要 求 同 
时 装载 该 可 执行 代码 附带 的 一 个 安全 证 书 ,通过 对 证 书 的 验证 以 证 明代 码 的 执行 
将 会 是 安全 的 。 可 执行 代码 的 安全 证 书 由 代码 提供 者 在 编译 代码 时 通过 编译 器 自 
动 生成 。 


5.3.1 语言 验证 的 安全 原理 


高 级 编程 语言 的 编译 器 在 对 代码 编译 的 过 程 中 ,通过 对 代码 的 分 析 , 能 够 获取 大 
量 关 于 代码 的 信息 ,如 类 型 信息 、 变 量 值 的 限制 条 件 信 息 、 代 码 结 构 性 信息 、 命 名 信息 
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等 。 这 些 信 息 可 用 于 检查 代码 可 能 存在 的 类 型 错误 ,并 可 应 用 于 对 代码 的 进一步 优 
化 。 编 译 完成 后 ,传统 的 编译 器 往往 会 丢弃 这 些 额 外 的 辅助 信息 ,只 留 下 编译 得 到 的 
指令 序列 ,不 保留 任何 结构 性 特征 和 其 他 可 识别 的 源 代码 特征 。 

从 语言 验证 的 角度 来 分 析 , 这 些 额 外 的 信息 包含 了 编译 形成 的 目标 代码 执行 安 
全 性 的 有 效 辨 别 信息 。 如 果 代 码 的 装载 者 能 够 获知 这 些 只 有 编译 器 才能 获知 的 额外 
信息 , 则 可 以 在 被 装载 的 代码 执行 前 ,从 一 定 程度 上 辨别 验证 该 代码 的 执行 过 程 是 否 
安全 ,代码 的 执行 是 否 存在 违反 安全 政策 的 行为 。 

基于 语言 的 安全 验证 要 求 编译 器 在 编译 源 代码 的 过 程 中 ,将 这 些 额 外 信息 按照 
一 定 的 要 求 同 目标 代码 一 起 保留 下 来 ,并且 作 为 可 执行 目标 代码 的 一 个 结构 成 分 同 
目标 代码 一 起 提交 给 代码 装载 者 。 这 部 分 同 目标 代码 一 起 封装 的 额外 信息 就 称 为 该 
目标 代码 的 安全 证 书 。 当 目标 代码 被 装载 时 ,安全 证 书 也 同时 被 装载 。 装 载 者 使 用 
一 个 称 为 语言 安全 验证 器 的 部 件 , 首 先 对 目标 代码 及 其 安全 证 书 进 行 检 查 , 判 断 其 代 
码 中 是 否 存在 可 能 违反 安全 政策 的 部 分 。 如 果 验 证 成 功 通过 , 则 允许 代码 执行 ,否则 
禁止 代码 的 执行 。 

图 5. 2 揭示 了 语言 安全 验证 的 过 程 。 其 中 编译 生成 目标 代码 和 安全 证 书 的 过 程 
属于 开发 过 程 , 同 代码 最 终 的 安全 验证 和 执行 过 程 是 分 离 的 ,不 属于 信任 建立 过 程 的 
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5.3.2 典型 语言 验证 系统 


基于 语言 的 安全 验证 ,首先 要 求 设 计 一 种 安全 的 编程 语言 。Java 可 能 是 目前 能 
够 达到 大 范围 实用 的 第 一 种 支持 语言 安全 验证 的 高 级 编程 语言 ""] Java 设计 者 最 
初 是 为 了 采用 这 种 技术 来 防止 浏览 器 中 运行 的 恶意 插件 。 在 Java 的 运行 环境 中 包 
含 一 个 Java 中 间 代 码 Bytecode 的 安全 验证 器 ,支持 对 内 存 安全 控制 流 安全 以 及 基 
于 类 型 系统 的 语言 安全 的 支持 。Java 最 典型 的 安全 政策 是 限制 对 磁盘 输入 输出 的 访 
In] ,这 是 由 Java 设计 的 应 用 范畴 所 决定 的 。 如 果 Bytecode 验证 通过 , 才 人 允许 代码 由 
Java 虚拟 机 解释 执行 ,或 者 进一步 编译 成 本 机 机 器 代码 。 由 于 最 初 Java 缺乏 合适 的 
语义 模型 ,导致 Java 的 基于 语言 的 安全 验证 存在 较 多 的 缺陷 "9 , 随 之 类 型 系统 被 引 
入 到 Java 语言 中 以 解决 这 些 安全 缺陷 下。Java 这 种 基于 语言 的 安全 机 制 , 很 好 地 
解决 了 互联 网 上 Web 应 用 中 存在 的 对 本 地 资源 访问 限制 的 安全 需求 。 

PCC(Proof Carrying Code)52 5 是 一 种 针对 C 语言 并 能 作 优 化 的 基于 注解 
和 形式 化 边 辑 证 明 的 语言 安全 验证 系统 。 代 码 提供 者 首先 利用 编译 器 Touchstong 
compiler 从 源 代码 生成 带 有 注解 的 目标 代码 ; 然后 利用 一 个 自动 工具 由 形式 化 的 系 
统 安全 政策 和 带 注解 的 目标 代码 生成 目标 代码 的 安全 逻辑 推理 ,该 推理 用 来 证 明 目 
标 代 码 是 满足 形式 化 安全 政策 的 ,目标 代码 和 安全 逻辑 推理 被 封装 到 一 起 提供 给 代 
码 使 用 者 ; 最 后 ,代码 使 用 者 在 执行 代码 前 ,首先 执行 一 个 证 明 检查 器 来 检查 目标 代 
码 敢 辑 推理 的 正确 性 ,判定 该 代码 是 否 能 安全 执行 。PCC 系统 尽管 能 满足 复杂 高 级 
语言 (如 C 语言 ) 的 安全 验证 和 优化 需求 ,但 是 其 产生 的 目标 代码 包含 的 迎 辑 推理 安 
全 证 书 尺寸 往往 是 目标 代码 的 3 一 7 倍 ,并 不 适合 于 在 固件 系统 中 应 用 。 

TAL(Typed Assembly Language) U* ”中 是 一 种 基于 类 型 系统 的 安全 汇编 语言 ， 
可 以 看 做 是 PCC 简化 的 汇编 版 本 。 由 于 简化 成 了 只 针对 类 型 系统 进行 安全 验证 ， 
TAL 的 安全 证 书 尺寸 要 比 PCC 的 小 得 多 。 

无 论 是 PCC 还 是 TAL ,在 代码 验证 执行 的 效率 上 都 要 受到 较 大 的 影响 ,目前 尚 
不 能 实际 应 用 。 
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5.3.3 基于 ECC 的 OPEN Firmware 恶意 代码 检测 


ECC(Efficient Code Certification)? £F xf PCC Il TAL 的 缺陷 进行 改进 ,只 提供 
有 限 固定 的 相对 基础 的 安全 保护 ,但 其 实现 更 简单 ,执行 效率 更 高 ,而 且 其 产生 的 安 
全 证 书 的 尺寸 只 有 原始 目标 代码 的 6% — 2526 ,被 应 用 于 对 Open Firmware 固件 系 
统 进行 恶意 代码 防范 ”3 。ECC 提供 的 有 限 基础 安全 属性 包括 : 

控制 流 安全 : 将 要 执行 的 下 一 条 指令 只 能 存在 于 该 段 代码 自身 的 代码 段 中 ,而 
不 会 跳 转 到 地 址 空间 中 其 他 随机 地 址 处 取 指 令 ; 

内 存 安全 : 程序 代码 只 能 访问 明确 分 配给 该 段 代码 的 数据 段 内 存 空间 和 系统 堆 
空间 或 者 合法 的 堆栈 帧 ,而 不 允许 随机 访问 内 存 空间 的 其 他 地 址 ; 

堆栈 安全 : 子 程 序 或 函数 的 调用 要 保持 堆栈 的 平衡 状态 。 

控制 流 安全 、 内 存 安全 和 堆栈 安全 三 种 安全 条 件 必须 同时 满足 ,才能 证 明代 码 的 
执行 是 安全 的 ,否则 代码 将 被 归 类 于 恶意 代码 。 

ECC 编译 器 在 生成 目标 代码 注解 时 ,将 目标 代码 标记 为 块 代码 (Block Code) 和 
残余 代码 (Residual Code) 。 例 如 ,程序 块 (program block) 包 括 主 程序 的 所 有 代码 , 调 
用 块 (call block) 包 括 函数 体 的 代码 ,而 表示 式 块 (eval block) 包 含 计算 表达 式 所 生成 
的 所 有 代码 。 在 块 代码 中 ,删除 所 有 子 块 代码 后 剩 下 的 代码 称 为 该 块 的 残余 代码 。 

ECC 要 求 控制 流 满足 : 

(CF1) 只 能 通过 jump 指令 跳 转 到 程序 块 (program block) 第 一 条 指令 开始 执行 
程序 块 ,只 能 通过 halt 指令 结束 程序 块 的 执行 ; 

(CF2) 不 能 通过 jump 或 顺序 执行 指令 开始 调用 块 (call block) 指 令 的 执行 ,只 能 
通过 halt 指令 或 return 指令 退出 调用 块 的 执行 ; 

(CF3) 除了 程序 块 和 调用 块 ,其 他 类 型 的 代码 块 的 执行 必须 通过 jump 或 顺序 执 
行 指令 从 代码 块 的 第 一 条 指令 开始 执行 ,代码 块 执 行 的 结束 要 么 通过 jump 指令 跳 
转 , 要 么 顺序 执行 紧 随 代码 块 的 下 一 条 指令 。 
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定义 5-1 如 果 一 次 内 存 访 问 操作 ( 读 或 写 ) 访 问 的 是 预先 已 分 配 的 堆 存 储 单元 ， 
或 者 是 堆栈 的 有 效 单元 ,或 者 是 程序 常量 数据 单元 , 则 称 这 次 内 存 访问 操作 是 安 
全 的 。 

定义 5-2 ”如 果 代码 块 的 执行 满足 下 面 特性 , 称 该 代码 块 的 执行 是 安全 的 : 

(SD 代码 块 执行 的 退出 满足 (CF1) — (CF3); 

(S2) call 指令 总 是 转向 调用 块 的 第 一 条 指令 ; 

(S3) 进入 代码 块 前 和 退出 代码 块 后 ,指针 s( 堆 栈 指针 ) 和 e( 环 境 指针 ) 总 是 能 保 
持 自身 值 的 一 致 性 ; 

(S4) 代码 执行 退出 后 ,环境 值 和 堆栈 状态 总 是 正确 的 ; 

(S5) 代码 块 执行 中 的 所 有 内 存 访问 都 是 安全 的 。 

假设 代码 块 的 所 有 子 块 执行 都 是 安全 的 , 则 可 以 引出 下 面 的 定义 。 

定义 5-3 如果 代码 块 满足 下 面 特性 , 称 该 代码 块 是 残余 安全 的 ， 

(LS1) 代码 块 的 残余 代码 保障 在 进入 代码 块 中 的 任何 子 块 执行 前 , 子 块 执行 的 
环境 条 件 和 参数 条 件 总 是 能 够 得 到 满足 ; 

(LS2) 当 残 余 代 码 中 出 现 call 指令 时 ,call 转向 的 指令 总 是 被 调用 的 子 块 的 第 一 
条 指令 ,并 且 调 用 子 块 的 参数 条 件 得 到 满足 ; 

(LS3) 除 子 块 调用 外 ,残余 代码 总 是 能 够 维护 指针 s di TE e 的 正确 值 和 堆栈 的 


平衡 状态 ; 
(LS4) 残余 代码 总 是 能 够 保障 在 退出 代码 块 后 ,指针 s 和 指针 e 以 及 堆栈 总 是 处 
于 正确 状态 ; 


(LS5) 残余 代码 中 所 有 的 内 存 访问 总 是 安全 的 。 

ECC 安全 定理 ”如 果 所 有 代码 块 是 残余 安全 的 ,那么 所 有 代码 块 的 执行 都 是 安 
全 的 。 如 果 最 外 层 的 程序 块 总 是 从 程序 块 的 第 一 条 指令 开始 执行 ,并 且 执 行 前 环境 
指针 s 和 堆栈 总 是 处 于 正确 状态 , 则 程序 块 的 执行 是 安全 的 。 

Dexter Kozen 给 出 了 ECC 安全 定理 的 非 形式 化 证 明 。ECC 安全 定理 对 安全 的 
定义 ,局 限于 一 种 有 限 的 基础 安全 策略 , 即 代 码 执行 的 控制 流 安全 ,堆栈 安全 和 内 存 
安全 。 而 对 于 拒绝 服务 性 的 恶意 攻击 、 关 键 资源 的 访问 保护 问题 则 无 能 为 力 ,其 所 能 
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检测 的 恶意 代码 的 类 型 也 非常 有 限 。 

另外 ,采用 ECC 的 方法 检测 恶意 代码 ,要 求 固 件 系统 的 生产 过 程 采 用 特定 的 能 
够 生成 语言 安全 证 书 的 编译 器 , 且 目 前 x86 的 指令 系统 也 完全 达 不 到 ECC 对 指令 系 
统 设计 的 要 求 。 因 此 ,本 书 认为 采用 ECC 检测 和 防范 恶意 代码 对 于 市 场 上 目前 占 主 
流 的 传统 公用 BIOS 产品 来 讲 ( 如 Phoenix BIOS, Award BIOS, AMI BIOS) 暂 时 尚 不 
可 行 ,但 语言 验证 对 代码 行为 安全 的 预先 判定 确 是 很 有 前 景 的 研究 方向 。 


5.4 基于 二 进 制 结构 签名 的 恶意 代码 检测 


由 于 受到 不 同 硬件 平台 主板 厂商 .BIOS 厂商 修补 的 影响 ,即使 是 同一 个 BIOS 
模块 ,对 不 同 计算 机 主板 的 BIOS 产品 ,其 模块 代码 也 总 是 存在 差异 ; 即使 是 同一 款 
计算 机 ,由 于 批 次 的 不 同 ,其 相同 BIOS 模块 代码 也 可 能 存在 差异 。 因 此 ,通过 完整 性 
验证 来 检测 恶意 代码 对 BIOS 模块 代码 自 改 的 方法 在 这 里 具有 很 大 的 局 限 性 。 

二 进 制 代码 比较 技术 ”通过 对 同一 代码 不 同 版 本 的 比较 ,可 以 获取 不 同 代 
码 版 本 中 发 生 改变 的 细节 。 这 种 技术 在 安全 领域 的 补丁 分 析 中 有 着 十 分 重要 的 作 
用 ,在 病毒 软件 的 变种 分 析 中 也 有 广泛 的 应 用 。 本 节 借 鉴 二 进 制 代码 结构 化 比较 技 
术 , 通 过 定义 合适 的 代码 结构 化 特征 签名 ,实现 将 该 技术 应 用 到 对 BIOS 产品 的 恶意 
代码 检测 问题 中 。 


5.4.1 二 进 制 代码 结构 化 图 描述 


二 进 制 代 码 十 分 星 涩 难 懂 ,直接 按 照 字 节 进 行 比较 匹配 是 毫 无 意义 的 。 将 二 进 
制 代码 利用 反 汇 编 技 术 进行 预 处 理 ( 如 采用 IDA 工具 ) «38 n] VU B HE iE) — JE d 
变 成 汇编 指令 的 代码 序列 ,并 采用 图 形 结构 来 描述 二 进 制 代码 。 本 文 “ 图 ”的 概念 ,是 
指 由 “顶点 "和 “ 弧 ” 构 成 的 有 向 图 ,形式 化 定义 为 : 
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Graph 一 (V,R) 

V— (x | x€ dataobject} 

R=(VR} 

VR={<x, y>|P(x,y) A (x. y€ V)) 

V 是 图 中 数据 元 素 x 的 集合 ,x 称 为 图 的 顶点 ; VR 是 顶点 之 间 关 系 的 集合 , 若 
<x y> € VR.Jl| — x y RRM GUS x 到 y 的 一 条 弧 ; 图 的 谓词 P(x,y) 表 示 从 顶点 
x 到 y 的 一 条 单 向 通路 。 顶 点 的 入 度 是 指 射 向 顶点 的 弧 的 数目 ,定点 的 出 度 是 指 从 
顶点 射出 的 弧 的 数目 。 

采用 两 种 类 型 的 图 来 描述 二 进 制 代码 的 结构 : 一 是 函数 调用 图 ,描述 二 进 制 代 
码 中 所 包含 的 不 同 函 数 之 间 的 调用 关系 ; 二 是 控制 流 图 ,具体 描述 一 个 函数 内 部 的 
流程 结构 。 对 于 非 函 数 /过 程 包装 形式 的 二 进 制 代码 模块 ,将 该 模块 等 同 定义 为 一 个 
函数 ,采用 函数 调用 图 来 描述 其 结构 。 

函数 调用 图 : 描述 二 进 制 模块 代码 中 函数 之 间 调 用 关系 的 有 向 图 ,图 中 顶点 是 
二 进 制 代码 中 包含 的 所 有 函数 ,图 中 的 弧 代 表 从 一 个 函数 到 另 一 个 函数 的 调用 关系 。 

控制 流 图 : 一 个 函数 所 有 的 语句 序列 可 以 被 划分 为 若干 基本 块 。 基 本 块 是 一 个 
连续 语句 序列 ,控制 流 从 它 的 开始 进入 ,从 它 的 未 尾 离开 ,不 允许 有 中 断 或 分 支 ( 末 尾 
除外 ) 。 控 制 流 图 的 顶点 由 基本 块 组 成 ,表示 计算 的 指令 序列 ,顶点 之 间 的 弧 表示 流 
向 。 每 一 个 函数 的 控制 流 图 只 能 有 一 个 人口 (入 度 为 0 的 点 ) ,但 可 能 存在 多 个 出 口 
(出 度 为 0 的 点 )。 图 5. 3 给 出 了 实际 分 析 中 构造 的 某 函 数控 制 流 图 的 示例 。 图 中 只 
有 唯一 的 入 口 顶 点 Vo 和 出 口 顶点 V9。 

对 于 二 进 制 代码 ,首先 通过 反 汇 编 识别 出 代码 中 的 函数 ,绘制 出 函数 之 间 的 调用 
关系 图 ,然后 为 每 一 个 函数 划分 基本 块 ,绘制 出 每 个 函数 的 控制 流 图 。 这 样 ,通过 把 
二 进 制 代码 抽象 成 一 张 函数 调用 图 和 若干 张 函数 控制 流 图 的 描述 ,将 二 进 制 代 码 比 
较 问 题 转化 成 在 图 中 寻找 顶点 之 间 对 应 关系 的 问题 。 对 应 关系 包含 了 函数 之 间 的 对 
应 和 基本 块 之 间 的 对 应 ,从 而 清晰 地 显示 出 不 同 版 本 、 不 同时 期 内 BIOS 产品 中 模块 
代码 的 变化 。 
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push bp 


mov bp, sp 

add sp. OFFFEh 
cmp ax, 8 

ja short LBL1646 


cmp ax, | 


jnz NEC leave 


Jeu retf 


cmp ax, 8 call far ptr OE94: 1278h mov ax, 
stc (vs) 


jnz short LBL 1644 jmp short LBL1645 — (V3 
clc (0) 
jmp short LBL164 


c 


call far ptr 0E94: 1375h 


jmp short LBL1645 (0 — 


push bx (vs) 


mov bx, ax 
shl bx, 1 
mov bx, es:[bx+offset LA_A7DE] 
mov [bp-2], bx 

pop bx 

word ptr[bp-2] 


Or ax, ax 
jnz short LBL1646 


图 5.3 函数 控制 流 图 


5.4.2 ”二进制 函数 结构 化 特征 签名 


二 进 制 代码 的 比较 需要 在 函数 和 基本 块 两 个 层面 进行 。 在 函数 层面 比较 二 进 制 
代码 ,就 是 要 在 两 份 不 同 版 本 的 函数 调用 图 之 间 进 行 顶 点 之 间 的 映射 。 同 一 个 功能 
模块 的 二 进 制 代码 发 生 改 变 存 在 多 种 情况 : 由 于 编译 器 类 型 或 版 本 的 不 同 造 成 二 进 
制 代码 的 改变 通常 是 基本 块 内 部 的 语句 序列 和 寄存 器 分 配 差 异 ; 而 代码 补丁 或 非法 
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嵌入 的 恶意 代码 往往 会 改变 函数 局 部 的 控制 流程 或 执行 分 支 。 为 了 适应 这 种 情况 ， 
二 进 制 代码 比较 过 程 中 函数 的 映射 并 非 总 是 函数 代码 完全 匹配 的 映射 ,而 更 多 的 时 
候 是 一 种 模糊 映射 。 函 数 的 映射 基于 函数 的 特征 签名 进行 ,而 这 种 函数 的 特征 签名 
需要 适用 于 模糊 映射 的 需要 。 

函数 控制 流 图 准确 地 描述 了 函数 内 部 代码 的 结构 。 控 制 流 图 中 基本 块 和 弧 的 数 
目 一 定 程度 反映 了 函数 的 规模 和 流程 。 由 于 函数 控制 流 图 是 通过 反 汇 编 技术 获取 
的 ,在 对 基本 块 进行 特征 提取 和 比较 前 ,不 可 能 实现 对 控制 流 图 中 的 顶点 进行 对 应 ， 
这 给 函数 比较 映射 造成 了 一 定 的 困难 。 

定义 5-4 顶点 特征 ”控制 流 图 中 的 顶点 特征 Sig v) = CIDGO ,OD(y)) ,其 中 ID 
(VV) 代表 顶点 v 的 入 度 ,OD(v) 代 表 顶 点 v 的 出 度 。 

为 了 方便 描述 和 比较 ,规定 两 个 顶点 特征 之 间 的 比较 关系 为 : 

Sig( v) = Sig(wj) 当 且 仅 当 IDC(v)=ID(vj) 并 且 ODd = ODCvj)， 

Sig( v) > SigCvj) 当 且 仅 当 IDCviD) 二 IDCvj) 或 者 IDCvi)=IDCvij) 并 且 ODCvi) > 
OD(v); 

Sig v) < SigCvj) 当 且 仅 当 IDCvi) 一 IDCvj) 或 者 ID(vi) —IDG(jJf B. ODi) < 
OD(vj); 

EX 5-5 ”控制 流 图 的 结构 特征 具有 n 个 顶点 的 控制 流 图 的 结构 特征 Sig Ce 
是 图 中 所 有 顶点 vi 的 顶点 特征 Sig(vi) 的 非 递 减 序列 ,其 中 ,0<i<n 一 1。 

顶点 的 出 度 和 入 度 能 较 好 地 反映 图 中 弧 的 数目 和 流向 。 在 两 个 图 中 顶点 和 弧 不 
能 确定 对 应 的 情况 下 ,控制 流 图 的 结构 特征 Sig(g) 能 够 一 定 程度 地 表示 图 中 顶点 之 
间 的 关系 。 

定义 5-6 函数 的 特征 签名 ”函数 的 特征 签名 Sig D 二 (a,B,Sig(g)), 其 中 ag 
分 别 代表 函数 {的 控制 流 图 中 的 顶点 的 总 数 和 弧 的 总 数 ,Sig(g) 代 表 函 数 f 的 控制 流 
图 的 结构 特征 。 

函数 特征 签名 中 的 a 和 8B 表 达 了 控制 流 图 的 规模 ,而 函数 的 结构 特征 Sig(g) 描 
述 了 控制 流 图 的 结构 ,三 者 结合 能 够 很 好 地 标示 和 识别 函数 。 

在 对 函数 进行 映射 后 ,需要 进一步 对 函数 中 的 基本 块 进行 映射 , 即 识 别 和 标定 
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函数 控制 流 图 的 顶点 ,建立 基本 块 顶点 间 的 映射 ,以 便 更 进一步 发 现 和 确定 函数 中 
代码 的 变化 。 对 基本 块 的 特征 选取 必须 兼容 编译 器 对 于 二 进 制 代码 的 优化 和 寄存 
器 分 配 差 别 造成 的 不 良 影响 , 即 可 能 造成 的 基本 块 语义 相同 ,而 指令 次 序 和 操作 数 
寻 址 方式 发 生 了 变化 。 如 果 不 能 兼容 基本 块 在 这 方面 的 变化 , 则 容易 产生 较 多 的 
误 报 ,把 语义 完全 相同 的 基本 块 报告 为 不 同 。 对 于 这 类 问题 ,可 以 利用 小 素数 乘积 
的 分 解 唯一 性 性 质 和 乘法 运算 的 可 交换 性 质 ,采用 基本 块 的 小 素数 乘积 来 作为 基 
本 块 的 特征 5 。 

设 A 二 {al,a2,…,am}) 表 示 汇 编 指令 的 集合 ,共有 m 条 不 同 的 指令 助 记 符 ,Pm 一 
{3,5,…,pm) 为 前 m 个 素数 的 集合 。 建 立 一 一 映射 : 

tr:A—>Pm,r(ai)= pi 


该 映射 为 A 中 的 每 一 条 指令 助 记 符 分 配 一 个 唯一 的 小 素数 。 


定义 5-7 基本 块 的 特征 签名 基本 块 的 特征 签名 Sig(b) — IEG , 即 为 基 
本 块 中 包含 的 所 有 m 条 指令 所 对 应 的 小 素数 乘积 。 

如 果 两 个 基本 块 对 应 的 小 素数 乘积 相同 , 则 说 明 两 个 块 中 指令 序列 所 包含 的 
指令 助 记 符 集合 是 相同 的 ,而 指令 次 序 , 则 有 可 能 完全 相同 ,也 有 可 能 不 同 。 而 且 ， 
在 指令 助 记 符 集合 相同 的 情况 下 ,允许 具体 指令 采用 不 同 的 寄存 器 分 配 和 操作 数 
寻 址 方式 ,从 而 很 好 地 解决 了 编译 器 可 能 带 来 的 相同 语义 基本 块 之 间 的 指令 差异 。 
当 基 本 块 的 二 进 制 代码 的 小 素数 乘积 相同 时 ,可 以 认为 这 两 个 基本 块 是 语义 相同 
的 基本 块 。 


5.4.3 基于 结构 化 特征 签名 的 恶意 代码 检测 过 程 


基于 图 的 二 进 制 函数 特征 签名 和 基本 块 的 特征 签名 从 两 个 不 同 的 层次 对 二 进 制 
函数 代码 进行 了 描述 : 函数 特征 签名 用 于 从 函数 调用 关系 图 中 识别 出 相同 或 相近 的 
二 进 制 函数 代码 ,而 基本 块 特征 签名 则 可 以 用 于 对 函数 中 代码 的 进一步 比较 ,识别 函 
数 代码 语义 上 的 变化 。 


C F 
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基于 图 的 二 进 制 结构 描述 和 特征 签名 可 以 用 于 对 二 进 制 代码 中 可 能 包含 的 恶意 
代码 和 其 他 可 疑 代 码 进行 检测 。 检 测 前 需要 广泛 收集 恶意 代码 样本 和 典型 的 BIOS 
模块 样本 。 

对 于 已 知 的 拥有 二 进 制 代 码 样本 的 恶意 代码 ,采用 基于 图 的 二 进 制 结构 描述 提 
取 恶 意 代码 主 函 数 的 特征 签名 或 恶意 代码 最 具 代 表 性 的 基本 块 的 特征 签名 ,这 些 特 
征 签名 连同 恶意 代码 一 起 构成 BIOS 安全 检测 的 恶意 代码 样本 库 。 

对 于 典型 的 BIOS 模块 样本 ,假设 样本 收集 的 来 源 是 可 信 的 ,并 经 过 代码 分 析 确 
认 模 块 样本 中 所 有 代码 的 功能 都 是 已 知 并 无 害 的 , 即 典 型 BIOS 模块 样本 是 安全 可 信 
的 。 对 于 这 些 典 型 的 模块 样本 ,同样 采用 基于 图 的 二 进 制 结构 描述 生成 模块 代码 的 
函数 调用 关系 图 和 函数 的 控制 流 图 ,提取 各 个 函数 的 特征 签名 和 基本 块 的 特征 签名 。 
这 些 典 型 BIOS 模块 样本 同 对 应 生成 的 函数 调用 关系 图 和 特征 签名 一 起 ,构成 BIOS 
安全 检测 的 BIOS 模块 样本 库 。BIOS 模块 样本 库 需 要 按照 不 同 厂 家 、 不 同 版 本 的 
BIOS 产品 对 模块 样本 进行 分 类 存储 。 

BIOS 安全 检测 过 程 中 ,在 完成 对 被 检测 计算 机 BIOS 产品 的 采样 .BIOS 映像 文 
件 模块 分 解 . 解 压缩 ,得 到 独立 的 BIOS 代码 模块 过 程 后 ,对 恶意 代码 检测 的 过 程 为 : 

(1) 对 所 获得 的 所 有 BIOS 代码 模块 ,采用 基于 图 的 结构 描述 生成 模块 的 函数 调 
用 图 和 控制 流 图 ,提取 函数 的 特征 签名 和 基本 块 的 特征 签名 。 

(2) 根据 恶意 代码 样本 库 中 恶意 代码 的 特征 签名 在 BIOS 代码 模块 中 搜索 匹配 
恶意 代码 ,即将 恶意 代码 的 主 函 数 根据 特征 签名 在 BIOS 代码 模块 中 寻找 能 够 匹配 特 
征 签名 的 配对 函数 。 

(3) 将 被 检测 产品 的 模块 样本 与 BIOS 模块 样本 库 中 的 二 进 制 代码 按照 模块 、 函 
数 、 基 本 块 的 顺序 依次 进行 搜索 配对 。 模 块 配对 的 依据 是 模块 类 型 和 函数 调用 关系 
图 ,函数 和 基本 块 配 对 的 依据 是 各 自 的 特征 签名 。 完 全 配对 的 函数 和 基本 块 表 明 其 
中 不 存在 可 疑 代码 ,不 能 配对 的 函数 ,需要 进一步 进行 模糊 匹配 ,找到 最 接近 的 函数 ， 
再 进一步 通过 基本 块 的 比较 找 出 函数 中 的 代码 变化 。 这 种 未 知 语义 的 代码 变化 称 为 
可 疑 代码 。 对 可 疑 代码 的 分 析 需 要 人 工 进行 反 编译 和 阅读 分 析 , 识 别 变 化 部 分 的 代 
码 语义 功能 ,以 确认 可 疑 代 码 是 良性 代码 还 是 恶意 代码 。 
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5.5 BIOS 产品 结构 分 析 


BIOS 在 flash 芯片 中 的 存储 是 按照 类 似 于 一 个 简单 的 文件 系统 来 构成 的 ,其 构 
成 的 最 小 成 分 是 模块 。 不 同 厂 商 BIOS 产品 flash 映像 文件 的 结构 都 不 一 样 。 而 且 ， 
为 降低 BIOS 产品 的 成 本 ,减少 BIOS 映像 文件 需要 占用 的 存储 空间 ,BIOS 映像 文件 
中 的 许多 模块 都 是 经 过 压缩 后 再 存储 的 。 因 此 ,对 BIOS 进行 漏洞 扫描 和 恶意 代码 检 
测 ,都 需要 首先 将 BIOS 的 flash 映像 文件 解析 成 模块 ,对 压缩 的 模块 再 进行 解压 缩 ， 
才能 得 到 真实 的 数据 或 代码 。 

由 于 BIOS 厂商 对 BIOS 产品 的 技术 垄断 和 非 开放 性 ,导致 BIOS 映像 文件 的 结 
构 各 不 相同 并 且 可 参考 的 开放 性 资料 很 少 ,所 以 对 BIOS 产品 结构 分 析 大 部 分 需要 
通过 逆向 工程 的 方法 来 获取 。 本 书 以 在 国内 市 场 占 主流 的 PC BIOS 产品 Award 
BIOS 和 笔记 本 BIOS 产品 Phoenix BIOS 为 例 分 析 了 典型 的 映像 文件 结构 和 模块 
结构 。 

映像 文件 对 应 4GB 内 存 的 最 高 地 址 的 SKB( 某 些 产 品 为 64KB) 称 为 Boot Block. 
该 部 分 代码 不 压缩 ,包含 计算 机 开机 立即 执行 的 指令 (在 映像 文件 的 最 后 16 个 字 节 
起 始 处 ,对 应 AGB 内 存 的 OFFFFFFFOH 地 址 ), 以 及 其 他 一 些 平台 初始 化 的 基础 
代码 。 


5.5.1 Award BIOS 映像 文件 和 模块 结构 


传统 的 Award BIOS 映像 文件 采用 模块 的 线性 排列 结构 ,最 高 端 对 应 的 是 Boot 
Block, 然 后 依次 顺序 排列 存放 其 他 模块 。 模 块 与 模块 之 间 允 许 存在 自由 空间 (被 填 
充 为 OFFh) 。 模 块 的 内 容 由 模块 头 部 结构 和 模块 的 数据 /代码 构成 。 典 型 的 模块 头 
结构 为 : 


Head= ( 
5Byte 
1Byte 
1Byte 
1Byte 

2 Word 
2 Word 
2 Word 
1 Byte 

1 Byte 

1 Byte 
128 Byte 
} 


c 
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*-]h5-" 

头 部 长 度 ( 以 字 节 为 单位 ); 
头 部 CRC 校 验 和 ; 

压缩 算法 标识 ; 

压缩 后 模块 长 度 (以 字 节 为 单位 ); 
原始 模块 长 度 ( 以 字 节 为 单位 ); 
模块 类 型 标识 ; 

fi 

f; 

模块 对 应 文件 名 长 度 ; 
模块 对 应 文件 名 


Award BIOS 通常 采用 LZHUF 压缩 算法 对 模块 进行 压缩 。 而 模块 类 型 标识 指 
明了 模块 包含 的 数据 或 代码 的 类 型 和 作用 ,如 0x40000000 表示 模块 是 BIOS Logo 图 
片 ,0x40010000 表示 一 个 CPU 微 代码 模块 等 。 


5.5.2 Phoenix BIOS 映像 文件 和 模块 结构 


传统 Phoenix BIOS 的 映像 文件 采用 模块 的 单 链表 存储 结构 ,最 高 端的 Boot 
Block 不 包含 在 单 链表 中 。 各 个 模块 通过 模块 头 部 中 的 地 址 指针 单 向 连接 在 一 起 , 形 
成 一 个 模块 链表 。 模 块头 部 结构 如 下 : 


Head= { 
2 word 
3 byte 
1 byte 
1 byte 
1 byte 
1 byte 
2 word 
2 word 


2 word 


指向 前 一 个 模块 的 地 址 指针 ; 
通常 为 "011”; 
同类 型 模块 序号 ; 

模块 类 型 ; 

模块 头 部 长 度 (以 字 节 为 单位 ); 
压缩 算法 ; 

5 

原始 模块 长 度 (以 字 节 为 单位 ) ; 
压缩 后 长 度 (以 字 节 为 单位 ); 
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2 word ti 
2 word T 


) 


在 传统 Phoenix BIOS 的 产品 中 ,采用 单个 英文 字符 表示 模块 类 型 ,如 A 表示 
ACPI 模块 ,E 表示 BIOS setup 模块 ,G 表示 用 于 对 压缩 模块 执行 解压 缩 操作 的 模块 
等 。 若 存在 多 个 同一 类 型 的 模块 , 则 以 序号 顺序 表示 。 


5.6 BIOS 安全 检测 模型 


BIOS 安全 检测 模型 表明 了 BIOS 安全 检测 的 方法 和 内 容 。 本 节 建 立 了 一 个 
BIOS 安全 检测 的 自 反馈 闭路 模型 用 以 指导 BIOS 安全 检测 系统 的 开发 。BIOS 安全 
检测 模型 如 图 5.4 所 示 。 


BIOS 安 全 检测 专业 人 员 8 一 一 一 


1 
BIOS 安 全 检测 人 员 
Y 
BIOS 采 样 与 结构 分 析 
w 
w X o z 
w A A 9 
2. (2) iR |$| le 
ro) |e Hee 
id td 样 & [51 
库 ii 本 村 本 
库 P 库 
BIOS 安 全 检测 报告 
计算 机 用 户 


图 5.4 BIOS 安全 检测 模型 


C 
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该 模型 中 ,BIOS 漏洞 库 、BIOS 模块 样本 库 、 恶 意 代码 样本 库 根据 BIOS 安全 检测 
专业 人 员 预 先 研究 分 析 成 果 建 立 。BIOS 漏洞 库 保存 已 发 现 的 BIOS 漏洞 的 描述 ,其 
漏洞 特征 是 漏洞 扫描 的 依据 。BIOS 模块 样本 库 根据 不 同 BIOS 产品 进行 分 类 ,建立 
已 知 的 BIOS 模块 的 二 进 制 代码 结构 签名 ,并 且 这 些 模 块 是 已 通过 安全 分 析 确 认 不 包 
含 恶意 代码 的 安全 模块 。 恶 意 代码 样本 库 保 存 有 已 知 恶 意 代码 的 特征 描述 和 二 进 制 
结构 签名 。 

BIOS 安全 检测 人 员 经 过 专业 人 员 的 培训 指导 ,采用 检测 系统 对 被 检测 计算 机 
BIOS 进行 采样 并 作 安 全 检测 ,确认 被 检测 计算 机 BIOS 系统 是 否 存 在 安全 漏洞 ,是 否 
被 植 人 恶意 代码 。 检 测 所 生成 的 报告 反馈 给 计算 机 用 户 , 同 时 也 反馈 给 BIOS 安全 检 
测 专业 人 员 。 

若 检测 结果 发 现 未 知 的 BIOS 功能 模块 或 未 知 的 可 疑 代码 ,安全 专业 人 员 进 一 步 
分 析 该 模块 或 代码 的 功能 ,并 对 其 提取 特征 值 和 二 进 制 结构 签名 ,根据 分 析 数 据 和 结 
果 充 实 BIOS 模块 样本 库 和 恶意 代码 样本 库 。 安 全 专业 人 员 在 研究 分 析 检 测 的 过 程 
中 ,根据 研究 结果 持续 对 BIOS 漏洞 库 进行 更 新 升级 。 

BIOS 安全 检测 结果 的 反馈 ,补充 和 完善 了 BIOS 安全 漏洞 库 、BIOS 模块 样本 库 
以 及 恶意 代码 样本 库 ; 反 过 来 ,这 些 库 数据 的 不 断 补充 和 完善 又 进一步 扩大 了 BIOS 
安全 检测 结果 的 覆盖 范围 ,提高 了 检测 的 准确 性 。 


5.7 BIOS 安全 检测 系统 的 实现 


通过 对 计算 机 BIOS 固件 的 安全 检测 及 安全 修补 ,能 够 有 效 地 减少 降低、 消除 计 
算 机 BIOS 存在 的 安全 漏洞 ,防止 计算 机 BIOS 中 代码 被 恶意 修改 或 被 植 人 木马 程 
Fr ,达到 增强 计算 机 信息 系统 安全 的 目的 ,为 计算 环境 和 网 络 环境 的 信息 安全 、 信 息 
保密 提供 牢固 可 靠 的 底层 防范 和 保护 能 力 。 
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5.7.1 BIOS 安全 检测 的 内 容 和 流程 


BIOS 的 安全 检测 是 一 种 自动 实施 的 静态 检测 ,其 检测 的 目的 物 是 从 BIOS flash 
芯片 中 提取 出 的 BIOS 二 进 制 映像 文件 ,检测 的 内 容 包括 漏洞 扫描 和 恶意 代码 检查 。 
BIOS 安全 检测 的 流程 如 图 5.5 所 示 。 


开始 


解析 BIOS 
映像 文件 


Y 
扫描 BIOS 漏 洞 


检测 BIOS 中 
恶意 代码 


1 
输出 检测 结果 


安全 修补 


图 5.5 BIOS 安全 检测 流程 


为 了 不 破坏 计算 机 主板 ,以 软件 读 取 的 方式 对 计算 机 主板 上 的 flash 芯片 中 
BIOS 进行 采样 ,形成 BIOS 映像 文件 。 

对 BIOS 映像 文件 的 解析 过 程 ,就 是 从 BIOS 中 提取 BIOS 基本 信息 和 结构 信息 
的 过 程 。 基 本 信息 包括 BIOS 厂商 信息 、 序 列 号 (BIOS ID)、 产 品 发 布 时 间 、 版 本 号 、 
版 权 信 息 等 。BIOS 的 结构 信息 包括 BIOS 的 模块 组 成 .数量 、 类 型 和 尺寸 等 ,将 每 个 
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模块 分 解 结 果 存 储 到 独立 的 临时 文件 中 ,以 备 进一步 漏洞 扫描 和 恶意 代码 检测 使 用 。 
对 于 被 压缩 存储 的 模块 ,分 解 时 要 进行 解压 缩 。 不 同 BIOS 产品 中 包含 的 模块 数量 可 
能 有 较 大 的 差别 ,例如 ,联想 开 天 系 列 计算 机 采用 的 Award Modular BIOS v6. 0 的 产 
品 一 般 只 包含 十 几 个 模块 ,而 IBM T42 系列 的 笔记 本 使 用 的 Phoenix 4. 0 Release 6. 0 


的 BIOS 产品 则 一 般 包 含 70 个 以 上 的 模块 。 


5.7.2 BIOS 安全 检测 系统 结构 


BIOS 安全 检测 系统 结构 设计 的 目标 , 既 要 满足 对 单机 BIOS 进行 安全 检测 的 需 
求 , 又 能 通过 局 域 网 对 网 内 多 台 计 算 机 通过 网 络 进行 集中 检测 的 需求 。 所 设计 实现 


的 BIOS 安全 检测 系统 结构 如 图 5. 6 所 示 。 


P "uh dle E 
1 
| 分 析 结果 呈现 模块 | | 1 | 专用 存储 服务 器 
1 
一 | 任务 管理 模块 -| pog 
| 通信 和 存储 模块 ”| 一 一 二 | 通信 和 存储 模块 
上 1 1 i 
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图 5.6 BIOS 安全 检测 系统 结构 图 
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BIOS 安全 检测 系统 包括 采样 子 系统 、 分 析 子 系统 、 管 理子 系统 、 修 补 子 系统 、 存 
储 子 系统 五 个 部 分 构成 。 提 供 本 地 单机 检测 和 集中 式 远程 检测 两 种 检测 模式 。 采 样 
子 系统 完成 对 计算 机 主板 上 存储 BIOS 的 flash 芯片 的 本 地 采样 或 远程 采样 , 读 取 
flash 芯片 内 容 并 存储 成 二 进 制 映像 文件 。 分 析 子 系统 对 采样 BIOS 数据 进行 安全 分 
析 检 测 ,生成 检测 的 技术 性 报告 。 管 理子 系统 建立 和 管理 安全 检测 任务 ,呈现 检测 结 
果 。 修 补 子 系统 根据 BIOS 安全 检测 结果 对 BIOS 映像 文件 实施 安全 修补 ,并 将 修补 
后 的 BIOS 映像 文件 写 回 计 算 机 主板 上 flash 芯片 中 。 采 用 集中 式 远程 检测 模式 时 ， 
存储 子 系统 采用 TCP/IP 协议 通信 接收 来 自 采 样子 系统 的 BIOS 采样 数据 ,提供 对 
BIOS 采样 数据 的 集中 存储 和 检测 结果 的 存储 管理 。 

对 BIOS 的 安全 修补 采用 自动 和 人 工 手 工 修补 相 结合 的 方法 进行 。 由 于 重 写 主 
板 BIOS 风险 比较 高 ,如 果 修 补 不 正确 或 者 重 写 过 程 出 现 差错 ,就 会 导致 计算 机 不 能 
启动 。 因 此 ,对 BIOS 的 安全 修补 ,通常 由 BIOS 专业 人 士 或 训练 有 素 的 安全 检测 人 
员 来 进行 ,普通 用 户 要 慎 用 这 一 操作 。 

由 于 计算 机 品牌 和 BIOS 产品 厂商 ,版 本 的 复杂 性 ,为 适应 不 同 环境 下 的 BIOS 
采样 需求 ,系统 采用 两 种 采样 模式 : 一 种 是 进入 Windows 操作 系统 后 ,在 操作 系统 下 
执行 系统 提供 的 采样 工具 软件 进行 采样 ; 另 一 种 是 使 用 系统 提供 的 启动 光盘 ,从 光 
盘 启 动 进入 Linux 操作 系统 ,在 Linux 操作 系统 下 运行 采用 工具 软件 进行 采样 ,而 无 
须 进 入 被 采样 计算 机 硬盘 上 的 主机 操作 系统 。 前 一 种 采样 方法 简单 方便 ,并 且 可 通 
过 网 络 实时 传输 采样 结果 。 后 一 种 采样 方式 具有 更 广泛 的 适应 性 ,能 够 在 市 场 上 绝 
大 多 数 计算 机 上 成 功 对 BIOS 进行 采样 。 

经 过 对 市 场 上 BIOS 产品 进行 调研 .收集 和 分 析 , 本 书 所 实现 的 BIOS 安全 检测 
系统 能 够 对 目前 市 场 上 最 为 普遍 的 两 类 BIOS 产品 (Phoenix BIOS 和 Award BIOS) 
进行 安全 检测 。 该 系统 可 广泛 应 用 于 对 保密 网 中 的 保密 计算 机 的 安全 检查 和 安全 评 
估 工 作 中 。 该 系统 已 经 成 功 地 进行 了 产品 转化 。 


C Fi S. 
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5.8 本章 小 结 


目前 计算 机 中 广泛 使 用 的 传统 BIOS 产品 存在 较 大 的 安全 风险 : BIOS 产品 存在 
安全 漏洞 ,可 能 被 恶意 者 利用 实施 对 计算 机 系统 的 攻击 ; 恶意 者 也 可 能 通过 网 络 综 
合 利用 各 种 入 侵 手 段 ,将 恶意 代码 植 入 到 计算 机 BIOS 芯片 中 。 恶 意 代码 能 够 在 
BIOS 运行 阶段 获取 系统 控制 权 , 也 能 够 在 操作 系统 运行 后 再 获取 系统 的 控制 权 。 在 
BIOS 产品 来 源 无 法 控制 的 情况 下 ,扫描 BIOS 产品 存在 的 安全 漏洞 ,检测 BIOS 芯片 
中 是 否 被 蔡 入 恶意 代码 ,是 保障 计算 机 BIOS 安全 的 一 种 重要 手段 。 

本 章 根据 第 4 章 BIOS 安全 漏洞 分 析 结 果 , 对 漏洞 提取 特征 ,规范 漏洞 条 目的 表 
示 ,建立 了 第 一 个 BIOS 安全 漏洞 库 。 讨 论 了 基于 语言 的 行为 验证 ,二 进 制 结构 签名 、 
特征 提取 和 匹配 等 多 种 恶意 代码 检测 方法 。 分 析 了 Phoenix 和 Award 两 种 BIOS 产 
品 的 映像 文件 和 模块 结构 ,开发 了 一 种 计算 机 BIOS 安全 检测 工具 。 该 检测 工具 获得 
了 中 共 中 央 办 公 厅 科技 进步 二 等 奖 , 并 由 北京 电子 科技 学 院 - 中 科 院 高 能 物理 研究 所 
网 络 安全 联合 实验 室 成 功 地 进行 了 产品 成 果 的 转化 ,集成 到 苏州 中 科 林 华 科技 有 限 
公司 生产 制造 的 “神探 1 号 -终端 全 方位 安全 检查 系统 ”产品 中 。 
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受 CPU、 南 北桥 芯片 设计 技术 能 力 不 足 的 限制 和 传统 BIOS 技术 垄断 的 影响 ,我 
国 一 直 缺 乏 自主 知识 产权 的 国产 化 固件 BIOS 产品 。 因 此 ,对 目前 市 场 上 占 主流 的 美 
国 和 我 国 台 湾 地 区 的 传统 BIOS 产品 进行 安全 漏洞 扫描 、 安 全 威胁 分 析 和 检测 ,是 在 
现存 条 件 下 ,对 国家 信息 安全 底层 系统 安全 的 有 力 补充 和 保障 。 但 是 ,要 构造 我 国 完 
整 的 信息 产业 链 , 实 现 信息 安全 各 个 环节 的 可 控 和 可 信和 ,设计 和 开发 自主 知识 产权 的 
国产 化 安全 BIOS 产品 就 成 为 必需 的 环节 和 必 经 之 路 。 本 章 讨论 信息 安全 领域 安全 
和 可 信和 概念 的 关系 ,明确 安全 固件 开发 的 目标 一 一 可 信 固 件 。 


6.1 可 信和 与 安全 的 关系 


在 信息 安全 领域 ,可 信 (Trust) 和 安全 (Security) 是 两 个 经 常 混淆 使 用 的 概念 ,两 
者 关系 到 底 如 何 , 尚 没有 正式 文字 对 此 有 全 面 明确 的 阐述 。 本 文 认 为 ,明确 区 分 可 信 
和 安全 两 个 概念 ,对 于 信息 安全 发 展 目标 的 明确 化 和 开发 手段 的 确定 化 是 有 帮助 的 。 
混淆 两 者 的 概念 ,容易 对 计算 机 和 信息 安全 发 展 的 方向 和 技术 手段 造成 误导 。 
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6.1.1 可 信和 与 安全 概念 使 用 的 历史 阶段 划分 


首先 我 们 从 发 展 的 眼光 来 考察 在 信息 安全 的 不 同 历史 发 展 阶段 对 这 两 个 概念 的 
使 用 情况 。 

第 一 阶段 : 1967 一 1983 年 。 

1967 年 10 H ,美国 国防 科学 部 成 立 了 一 支 研究 小 组 ,开始 了 对 计算 机 安全 保障 
问题 的 研究 ,重点 研究 计算 机 系统 中 的 资源 共享 和 远程 访问 的 机 密 信息 保护 问 
题 "*' 裤 ,从 此 拉 开 了 计算 机 安全 研究 的 序幕 。 随 后 在 1972 和 1973 年 ,美国 国防 部 根 
据 其 研究 成 果 ,制定 发 布 了 统一 的 国防 部 计算 机 系统 使 用 安全 要 求 ,管理 控制 政策 和 
ERPE, 1972 年 ,作为 承担 美国 空军 的 一 项 计算 机 安全 规划 研究 任务 的 研究 
成 果 ,J. P. Anderson 在 其 研究 报告 中 提出 了 引用 监控 机 (Reference monitor) 等 重 
要 安全 思想 。 而 D. E. Bell L.J. Lapadula 在 1973 到 1976 年 间 提 出 并 逐步 充实 完 
善 的 BLP 安全 模型 中 '* 呆 成 为 第 一 个 可 证 明 的 安全 模型 ,也 是 最 有 影响 力 的 关注 机 
密 性 的 安全 模型 之 一 。 在 这 个 阶段 ,一 系列 的 安全 操作 系统 被 设计 和 开发 出 来 中 。 

这 个 阶段 ,使 用 的 几乎 都 是 “安全 ”这 个 概念 。 

第 二 阶段 : 1983 一 1993 年 。 

1983 年 美国 国防 部 颁布 了 《可 信 计 算 机 系统 评估 准则 六 ”5 (TCSEC, 也 称 桔 皮 
书 ) ,开始 使 用 “可 信 ” 这 个 概念 和 词汇 。1985 年 ,美国 国防 部 对 TCSEC 进行 了 修 
W, TCSEC 主要 针对 的 是 保密 性 ,重点 关注 的 是 通用 操作 系统 产品 的 安全 性 。 在 
随后 的 一 段 时间 内 ,各 国 相继 颁布 了 各 自 相关 的 安全 评估 准则 ,其 中 部 分 准则 沿用 了 
TCSEC 的 “可 信 ? 概 念 ,包括 : 1987 年 ,美国 国防 部 相继 颁布 的 针对 可 信 计 算 机 数据 
库 、 可 信 计 算 机 网 络 等 的 系列 评估 标准 ,也 称 彩虹 系列 ; 1993 年 ,加 拿 大 颁布 的 (可 信 
计算 机 产品 评估 准则 ?CCTCPEC) 。 而 其 他 一 些 准则 倾向 于 使 用 “安全 ”这 一 概念 ， 
包括 : 1991 年 ,英法 、 荷 德 联合 提出 的 (信息 技术 安全 评估 准则 )29 (ITSEC); 1993 
年 ,美国 公开 发 表 的 《信息 技术 安全 联邦 准则 )z9 CFO) 。 

这 一 阶段 ,可 信和 安全 两 个 概念 同时 混合 使 用 ,但 从 TCSEC 对 可 信 计 算 机 的 定 
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义 来 看 ,这 一 时 期 “可 信 ” 和 “安全 ”两 个 概念 是 等 价 的 ,具有 相同 的 含义 。 

第 三 阶段 : 1993 一 1999 年 。 

1993 年 ,出 于 对 评估 准则 混乱 状况 的 不 满意 ,CTCPEC、FC、TCSEC ITSEC 的 
发 起 者 采取 联合 行动 ,准备 将 各 自 独立 的 准则 集合 成 一 组 单一 的 、 能 被 广泛 使 用 的 信 
息 技术 安全 准则 ,并 在 1996 年 1 月 完成 了 这 一 准则 的 1. 0 版 本 , 即 (信息 技术 安全 评 
估 通 用 准则 》v1. 0(CC v1. 0) ,1997 年 完成 CC v2. 0 的 测试 版 ,1999 年 CC v2. 1 成 为 国 
际 标准 ISO/TECI5408: 19999? 。 在 这 一 标准 中 ,统一 采用 了 “安全 ”这个 概念 和 词汇 , 受 
该 标准 的 影响 ,同期 安全 产业 界 和 学 术 界 也 基本 更 多 地 采用 了 “安全 ”这 一 概念 。 

第 四 阶段 : 1999 一 2003 年 。 

1999 4E, IBM, HP, Intel, f 4k ^$ 55 44. IT 企业 发 起 成 立 了 可 信 计 算 平台 联盟 
(Trusted Computing Platform Alliance,TCPA), 该 组 织 不 仅 考 虑 信息 的 机 密 性 ,更 
强调 信息 的 真实 性 和 完整 性 ,更 注重 安全 的 产业 化 。 这 一 阶段 ,可 信 概 念 被 重新 提 
起 ,但 其 意义 已 经 发 生 了 改变 ,由 早期 与 “安全 ”几乎 相同 的 概念 ,演化 成 更 注重 实体 
真实 性 和 信息 完整 性 的 概念 。 这 一 阶段 ,无 论 产 业界 还 是 学 术 界 对 可 信 计 算 尚 存在 
许多 争论 ,安全 这 一 概念 也 同时 广泛 地 使 用 并 且 占 据 主 要 地 位 。 

第 五 阶段 : 2003—2008 年 。 

2003 年 ,TCPA 改组 成 可 信 计 算 组 织 TCG ,推出 了 一 系列 可 信 计 算 的 规范 标准 ， 
同时 可 信 计 算 模块 TPM 产品 的 出 现 ,将 可 信 计 算 推 向 了 一 个 新 高 潮 。 这 一 阶段 ,“ 可 
信 ” 概 念 和 词汇 的 使 用 远 远 超过 “安全 ”, 在 众多 媒体 和 厂商 的 炒作 下 ,TCG 的 可 信 计 
算 甚至 被 当成 了 计算 机 安全 的 终结 方案 和 技术 手段 ,似乎 可 信 计 算 就 是 安全 界 黑夜 
HLA — S8 BIET ,为 计算 机 安全 指明 了 终极 道路 。 

不 同 历史 发 展 阶段 对 可 信和 安全 概念 的 使 用 可 以 用 图 6. 1 来 表示 。 


安全 可 信 | S AMA 
anaes 安全 -| TERT 
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图 6.1 不 同 历史 阶段 可 信和 安全 概念 使 用 情况 
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6.1.2 可 信和 与 安全 概念 的 内 涵 比 较 


下 面 考察 在 不 同 发 展 阶段 ,安全 和 可 信 概 念 的 定义 和 认识 需求 。 

在 不 同 历史 阶段 ,对 安全 的 定义 .需求 和 认识 基本 是 一 致 的 。 这 其 中 ISO/IEC 
15408 中 对 "安全 ”的 阐述 具有 代表 性 : 

定义 6-1 安全 -ISO/IEC 15408: 安全 就 是 使 被 保护 的 资产 免 受 潜在 威胁 的 滥 
用 ,这 种 滥用 包括 但 不 限于 对 被 保护 资产 的 机 密 性 、 完 整 性 以 及 可 用 性 的 破坏 。 

美国 国防 部 发 布 的 TCSECU 9 中 对 可 信 计 算 机 系统 的 定义 则 是 在 1983—1993 
这 一 阶段 中 对 可 信 定 义 的 典型 阐述 : 

定义 6-2 ”可 信 -TCSEC: 可 信 计 算 机 系统 就 是 采用 了 足够 的 硬件 和 软件 完整 性 
保护 措施 以 保障 系统 的 可 用 性 ,使 得 系统 能 够 有 效 处 理 机 密 信息 。 

虽然 TCSEC 对 可 信 计 算 机 系统 的 定义 突出 地 强调 了 对 系统 处 理 机 密 信息 的 重 
点 关注 ,但 同时 也 表述 了 对 系统 完整 性 和 可 用 性 的 要 求 。 因 此 说 ,在 上 述 第 二 阶段 中 
使 用 的 可 信 的 概念 ,实际 上 同安 全 概念 是 等 同 的 。 这 也 是 为 什么 CC 标准 和 ISOVIEC 
15408 国际 标准 在 第 二 阶段 的 可 信和 安全 概念 混合 使 用 后 ,能 够 在 第 三 阶段 将 两 者 
统一 规范 为 一 致 采用 安全 概念 的 主要 原因 。 

TCPA 和 TCG 重新 提出 的 可 信 概 念 ,由 于 其 可 信和 概念 的 不 明确 性 ,以 及 可 信 概 
念 和 所 采用 技术 的 不 一 致 性 ,再 次 引起 了 可 信和 安全 概念 的 使 用 混乱 。TCG 在 文献 
[32] 中 对 可 信 的 定义 为 : 

定义 6-3 ”可 信 -TCG: 如 果实 体 以 预期 的 特定 行为 完成 指定 的 目标 , 则 实体 是 可 
信 的 。 

可 见 ,TCG 定义 了 一 个 很 模糊 的 可 信 概 念 。 从 预期 安全 的 角度 出 发 ,可 以 这 样 
理解 TCG 对 可 信 的 定义 : 实体 应 该 完成 的 指定 目标 是 明确 的 , 即 实体 的 功能 预期 
是 明确 的 ; 四 实体 除了 完成 预期 的 指定 功能 外 ,不 应 该 完成 其 他 额外 的 、 非 预期 的 功 
能 ; @ 对 实体 特定 行为 的 预期 是 安全 的 , 即 实体 行为 不 破坏 系统 或 信息 的 完整 性 、 机 
密 性 和 可 用 性 。 
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因此 ,从 预期 安全 的 角度 来 讲 ,TCG 定义 的 可 信和 概念 是 等 效 于 安全 概念 的 。 

遗憾 的 是 ,TCG 随后 提出 的 系列 规范 标准 、 技 术 方 法 都 没有 贯彻 这 种 可 信和 概 
念 ,没有 实施 对 实体 行为 的 验证 。 在 TCG 的 文档 中 ,可 信和 度量 等 同 于 对 实体 的 完 
整 性 测量 (完整 性 同时 关注 信息 的 真实 性 和 正确 性 ) ,而 我 国 国家 密码 管理 局 2007 
年 12 月 颁布 的 (可 信 计 算 密码 支撑 平台 功能 与 接口 规范 )253 CTCM 标准 ,对 应 于 
TCG 的 TPM 标准 ), 也 沿用 了 TCG 的 这 一 提 法 ,将 可 信和 度量 完全 等 同 于 完整 性 
度量 。 

很 明显 ,完整 性 度量 只 能 保证 实体 或 信息 的 真实 性 和 正确 性 ,但 不 能 保证 实体 行 
为 的 安全 性 。 因 此 说 ,在 实际 的 产业 化 实施 中 ,TCG 定义 的 可 信 已 经 晓 变 成 一 种 实 
体 之 间 的 静态 关系 ,而 不 是 通过 强制 规范 实体 执行 过 程 中 的 行为 来 保障 实体 执行 的 
安全 。 从 这 一 点 来 讲 ,TCG 的 可 信和 只 是 解决 了 部 分 安全 问题 ,可 信 的 不 一 定 就 是 安 
全 的 。 


6.1.3 对 信息 安全 研究 的 指导 作用 


安全 要 求实 体 的 行为 以 不 破坏 系统 和 信息 的 机 密 性 、 完 整 性 和 可 用 性 为 原则 。 
等 效 于 安全 的 可 信 要 求 不 仅 对 实体 的 执行 结果 做 出 安全 预期 ,而 且 对 实体 的 行为 过 
程 也 要 求 进行 验证 (行为 的 可 信 度 量 )。 静 态 的 可 信 关 系 不 足以 保证 实体 的 行为 总 是 
安全 的 。 

软件 行为 学 认为 ,主体 的 可 信人 性 是 主体 行为 的 一 种 统计 特性 ,而 且 是 指 行为 的 历 
史记 录 反 映 主 体 行为 是 否 违规 ,越权 以 及 超过 范围 等 方面 的 统计 特性 5 。 软 件 行为 
学 试图 通过 软件 行为 的 统计 来 建立 实体 之 间 动 态 的 可 信 关 系 , 但 这 种 动态 关系 是 通 
过 行为 的 事后 统计 建立 起 来 的 ,甚至 需要 以 承受 不 安全 行为 对 系统 造成 损害 为 代价 ， 
这 对 于 很 多 安全 环境 和 需求 来 讲 , 是 不 可 以 接受 的 。 

基于 语言 的 安全 验证 在 程序 代码 执行 前 对 代码 行为 进行 静态 检查 和 预测 ,以 期 
发 现 被 加 载 执行 的 代码 中 不 符合 安全 策略 的 行为 。 设 想 可 信 度 量 既 包括 TCG 的 完 
整 性 度量 ,以 保证 实体 的 真实 性 和 正确 性 ,又 包括 这 种 对 实体 预期 行为 的 度量 ,以 保 
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证 实体 行为 的 安全 性 , 则 这 种 可 信和 度量 足以 保障 可 信和 实体 的 安全 性 ,达到 可 信和 即 等 效 
于 安全 的 目标 。 

正确 认识 可 信和 安全 的 关系 ,可 以 帮助 我 们 认识 到 目前 TCG 可 信 计 算 的 局 限 
性 ,继续 深入 探讨 和 研究 行 之 有 效 的 安全 理论 和 技术 途径 。 


6.2 固件 在 可 信 计 算 体系 中 的 地 位 和 作用 


可 信 计 算 环 境 要 求 从 硬件 层 到 软件 层 , 组 成 系统 的 各 个 部 分 都 是 可 信 的 ,任何 不 
能 证 明 自 身 是 可 信 的 部 件 ,如 恶意 代码 ,病毒 ,木马 等 ,都 被 排斥 在 这 个 系统 之 外 。 我 
们 称 这 种 计算 和 网 络 环境 为 健康 的 可 信 计 算 生态 环境 。 建 立 可 信 计 算 生态 环境 ,要 
从 加 强 计算 终端 的 硬件 安全 固件 安全 、 操 作 系统 安全 等 底层 安全 入 手 , 从 源头 上 控 
制 不 安全 因素 。 

TOG 的 可 信 计 算 以 可 信 硬 件 为 基础 ,通过 信任 传递 在 硬件 .固件 .软件 之 间 构 建 
信任 链 , 任 何 实体 只 有 通过 可 信 度 量 才 被 准许 进入 系统 中 。TCG 规定 可 信 平 台 模 块 
(Trusted Platform Module,TPM) 是 可 信 计 算 的 硬件 安全 基础 。TPM 是 一 个 微 控制 
器 芯片 ,通常 集成 在 计算 机 主板 上 ,用 于 存储 密 钥 、 数 字 证 书 、 完 整 性 度量 值 ,并 具备 
数字 签名 、 密 钥 交 换 .加密 解密 等 安全 运算 功能 。 

TCG 的 可 信 平 台 具 有 三 个 核心 根 , 即 可 信和 度量 根 (Root of Trust for Measurement, 
RTM) 、 可 信 存 储 根 (Root of Trust for Storage. RTS) 和 可 信 报 告 根 (Root of Trust 
for Reporting. RTM). RTM 是 完整 性 度量 的 计算 单元 ,是 信任 链 建立 的 起 点 , 负 
责 实 施 RTM 的 代码 通常 称 为 CRTM(Core Root of Trust for Measurement), RTS 
是 能 够 保护 存储 完整 性 摘要 值 并 保留 其 计算 顺序 的 TPM 计算 和 存储 单元 。 
RTR 则 是 指 能 够 可 靠 地 向 外 部 平台 或 实体 报告 RTS 存储 的 信息 的 TPM 计算 
单元 。 

CRTM(Core Root of Trust for Measurement) 是 可 信和 度量 的 根 执行 代码 ,也 是 信 
任 链 中 最 早 被 执行 的 指令 代码 。 作 为 可 信 计 算 的 硬件 基础 ,将 CRTM 包含 在 TPM 
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中 当然 是 最 合适 、 最 安全 的 ,如 图 6.2 所 示 。 这 样 ,可 以 利用 TPM 硬件 的 密封 存储 和 
密封 计算 特性 来 保护 可 信 计 算 的 三 个 核心 根 。 


| Application ~ 


一 OS K 

1 

j 

执行 流 | ^ MBR/PL K 信任 链 

\ 

! 

-一 BIOS K 

\ 

I 

TPM 4 


ICRTM 


Reset Vector 


图 6.2 CRTM 包含 在 TPM 中 的 信任 链 


将 CRTM 包含 在 TPM 芯片 中 是 一 种 比较 理想 的 方案 ,但 是 在 现 有 的 计算 机 体 
系 架 构 下 ,这 一 方案 的 实现 并 不 可 行 。 现 有 的 计算 机 体系 结构 ,CPU 上 电 后 拾取 并 
执行 的 第 一 条 指令 是 指向 固件 BIOS 的 OxXFFFFFFFO(32 位 CPU) 位 置 ,也 就 是 说 ， 
BIOS 中 的 指令 代码 比 TPM 中 的 指令 代码 更 早 地 获得 系统 的 控制 权 。 但 是 按照 
CRTM 的 要 求 ,CRTM 应 该 包含 CPU 上 电 执行 的 第 一 条 指令 ,要 将 CRTM 设计 到 
TPM 芯片 中 ,必须 改变 现 有 计算 机 体系 架构 和 CPU 设计 ,显然 这 在 目前 还 不 
现实 。 

既然 CPU 上 电 后 执行 的 第 一 条 指令 包含 在 BIOS 中 , 则 BIOS 最 早 执行 的 那 部 
分 代码 最 适合 被 设计 成 CRTM, 如 图 6. 3 所 示 。 由 于 CRTM 是 信任 链 的 起 点 ,因此 
CRTM 必须 是 无 条 件 可 信任 的 ,为 了 保障 这 一 点 ,必须 采取 软件 措施 和 硬件 物理 措 
施 对 BIOS 中 的 CRTM 进行 多 重 保护 ,防止 CRTM 被 自 改 或 破坏 。 

此 外 ,BIOS 作为 系统 固件 ,还 需要 负责 对 其 后 加 载 执行 的 软件 代码 (如 MBR/ 
IPL 代码 ) 进 行 完 整 性 度量 ,将 信任 传递 下 去 。 


c 
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图 6.3 CRIM 包含 在 BIOS 中 的 信任 链 


6.3 固件 安全 需求 分 析 


本 节 从 固件 面临 的 安全 威胁 和 TCG 可 信 计 算 需 求 两 个 方面 分 析 固 件 的 安全 需 
求 ,定义 可 信和 固件 概念 和 安全 功能 。 

本 书 前 面 将 BIOS 安全 威胁 按照 来 源 不 同 分 为 两 类 : 内 部 威胁 和 外 来 威胁 。 
BIOS 功能 障碍 、 配 置 漏洞 ,信息 泄露 属于 BIOS. 内 部 威胁 ,而 BIOS 物理 攻击 、BIOS 
恶意 代码 则 属于 外 来 威胁 。 

BIOS 功能 障碍 和 信息 泄露 属于 正常 软件 或 程序 模块 存在 的 缺陷 ,这 类 威胁 只 需 
打 补 丁 即 可 解决 。BIOS 的 配置 属于 BIOS 系统 的 数据 的 一 部 分 ,配置 不 合理 .配置 错 
误 ,或 配置 信息 丢失 可 能 导致 计算 机 系统 某 些 硬件 设备 不 能 使 用 ,或 者 导致 系统 不 能 
正常 启动 。 

对 BIOS 的 物理 攻击 会 破坏 BIOS 代码 的 完整 性 ,使 得 计算 机 系统 不 能 正常 引导 
和 启动 ,达到 拒绝 服务 攻击 目的 。 

嵌入 到 BIOS flash 中 的 恶意 代码 会 在 BIOS 或 操作 系统 运行 过 程 中 被 激活 ,从 而 
对 计算 机 系统 的 安全 造成 危害 ,使 得 系统 丧失 服务 能 力 , 或 者 导致 在 进入 操作 系统 
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后 ,危及 操作 系统 的 安全 可 靠 运 行 和 用 户 的 敏感 信息 。 

以 上 针对 BIOS 的 安全 威胁 ,具有 一 个 共同 的 特征 , 即 都 是 通过 破坏 BIOS 代码 
或 数据 的 完整 性 实现 对 BIOS 系统 和 计算 机 系统 的 攻击 或 破坏 。 

因此 ,固件 安全 需求 的 第 一 条 ,是 固件 系统 代码 和 数据 的 完整 性 保护 要 求 。 

TOG 可 信 计 算 要 求 从 可 信和 硬件 开始 ,从 底层 到 上 层 软 件 ,每 一 步骤 的 执行 都 通 
过 信任 传递 ,建立 可 信和 链 。 这 个 过 程 强 调 的 同样 是 实体 的 完整 性 保护 。 信 任 传递 是 
通过 完整 性 度量 来 实现 的 。 完 整 性 度量 能 够 阻止 内 部 、 外 部 的 非 可 信 代 码 的 加 载 执 
行 ,保证 BIOS 只 执行 来 自 可 信任 的 BIOS 厂商 、 设 备 驱 动 厂商 或 可 信任 用 户 的 代码 。 
BIOS 是 完整 性 度量 的 起 点 ,完整 性 度量 的 核心 根 CRTM 是 BIOS 最 早 执行 的 代码 。 
BIOS 需要 对 三 种 代码 进行 完整 性 度量 : 一 是 BIOS 中 除 CRTM Code 外 的 其 他 BIOS 
Code; 二 是 被 BIOS 从 外 部 加 载 的 Option Rom 和 其 他 BIOS 层 的 驱动 和 应 用 程序 ; 
三 是 OS Loader Code。 

因此 ,固件 安全 需求 的 第 二 条 ,是 作为 可 信 计 算 的 核心 测量 根 ,完成 对 操作 系统 
执行 前 环境 的 可 信和 度量 过 程 。 

当 由 于 不 可 预知 的 故障 或 攻击 导致 BIOS 部 分 代码 或 数据 完整 性 遭 到 破坏 时 ， 
BIOS 系统 自身 必须 具备 安全 可 靠 的 失败 自 恢复 机 制 ,以 有 效应 对 拒绝 服务 类 型 的 攻 
击 。 实 施 这 种 失败 自 恢复 机 制 的 BIOS 代码 必须 受到 硬件 保护 ,保证 失败 自 恢复 机 制 
自身 不 会 遭 到 破坏 。 恢 复 过 程 中 同样 需要 对 所 提供 的 恢复 内 容 进 行 可 信和 度量 ,这 个 
过 程 称 为 可 信人 恢 复 。 

因此 ,固件 安全 需求 的 第 三 条 ,是 固件 的 可 信 恢 复 能 力 的 要 求 。 

定义 6-4 可 信 固 件 可 信 固 件 是 指 能 够 提供 自身 完整 性 保护 能 力 ,包含 可 信 计 
算 的 核心 度量 根 ,负责 完成 操作 系统 执行 前 环境 的 可 信 度 量 过 程 ,并 具有 对 自身 进行 
可 信 恢 复 操作 能 力 的 固件 系统 。 

这 里 有 必要 讨论 完整 性 的 内 涵 ,以 明确 可 信 度 量 和 完整 性 保护 的 目标 。 

信息 的 完整 性 关注 信息 的 真实 性 (Authenticity) 正确 性 (Correctness) 和 可 靠 性 
(Reliability)。 信 息 的 完整 性 能 够 检测 出 对 源 信息 未 经 授权 的 修改 ,或 保障 在 信息 的 
传输 过 程 中 ,从 源 出 发 地 发 出 的 所 有 信息 (包括 头 部 数据 、 内 容 等 ), 到 达 目 的 地 后 是 
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未 被 自 改 的 。 这 里 的 信息 既 包 括 系统 的 配置 数据 、 待 加 工 数据 ,也 包括 可 执行 的 代 
码 。 信 息 的 完整 性 同时 也 包括 对 信息 起 源 的 证 明 。 信 息 的 完整 性 是 信息 系统 能 够 提 
供 可 靠 服务 的 必要 条 件 。 

因此 ,可 信和 度量 既 包 括 对 信息 内 容 的 正确 性 测量 , 即 信 息 是 未 被 自 改 过 的 ,也 包 
括 对 信息 起 源 的 证 明 , 即 信息 真正 的 发 布 者 与 信息 所 指明 的 发 布 者 是 相符 合 的 ,信息 
发 布 者 是 可 靠 的 、 可 以 信赖 的 。 


6.4 经 典 安全 模型 分 析 


安全 策略 (Security Policy) 是 一 组 用 来 控制 系统 如 何 管理 .保护 及 分 配 敏 感 信息 
的 规则 和 操作 5 。 从 工程 的 角度 来 看 ,安全 策略 是 指 对 安全 需求 的 规范 描述 ,这 种 
描述 可 以 是 形式 化 的 ,也 可 以 是 非 形式 化 的 。 安 全 模型 (Security Model) 是 系统 要 实 
施 的 安全 策略 的 正式 表达 ,安全 模型 必须 定义 一 组 控制 系统 如 何 管理 .保护 和 分 发 敏 
感 信息 的 规则 集合 "3 。 安 全 模型 的 目的 是 准确 地 表达 安全 需求 。 

从 20 世纪 70 年 代 开 始 , 伴 随 信息 安全 的 发 展 研究 ,先后 提出 多 种 安全 模型 ,一 
些 安全 模型 还 得 到 了 形式 化 证 明 。 这 些 安全 模型 通常 是 各 种 安全 操作 系统 开发 的 安 
全 基础 和 依据 。 相 比较 操作 系统 来 说 ,尽管 固件 的 功能 和 执行 环境 都 要 简单 得 多 ,但 
是 现存 的 一 些 安全 模型 并 不 一 定 能 够 满足 固件 的 安全 开发 需求 。 本 文 首先 对 典型 的 
安全 模型 进行 研究 ,然后 针对 固件 的 安全 威胁 和 安全 需求 分 析 结 果 , 提 出 适合 可 信 固 
件 开发 的 安全 策略 模型 。 


6.4.1 安全 模型 的 分 类 比较 
从 1973 ^E D. Elliott Bell 和 Leonard J. LaPadula 提出 第 一 个 可 以 用 数学 方法 证 


明 的 安全 系统 模型 *'% 呆 以 来 ,在 随后 三 十 多 年 的 发 展 中 ,信息 安全 界 先 后 提出 了 十 
多 种 具有 典型 性 和 重要 影响 的 安全 模型 。 此 模型 主要 形成 于 20 世纪 70 年 代 到 90 年 
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代 。 这 些 模型 的 提出 对 安全 操作 系统 的 开发 和 各 种 应 用 系统 、 网 络 系统 的 安全 开发 
提供 了 良好 基础 和 指导 性 。 根 据 不 同 模型 关注 的 安全 目标 和 安全 控制 方式 的 不 同 ， 
本 文 对 这 些 模型 进行 分 类 的 比较 分 析 , 如 表 6. 1 所 示 。 


表 6.1 安全 模型 的 分 类 


模型 分 类 模 型 作 者 年 代 安全 目标 
D. Eliott Bell and Leonard 
BLP 模型 3. £apsduls 1973 机 密 性 
M. H. Harrison. W. L. 
HEU Gal Ruzzo,and J. D. Ullman eii: num 
Biba 模型 K. J. Biba 1977 完整 性 
Clark-Wilson 模型 ps PicClask cand Paved 1987 完整 性 
访问 控制 模型 R. Wilson 
中 国 墙 安全 模型 | D. Brewer and M. Nash 1989 机 密 性 
TE 模型 We 5 Boebert and R. 1985 政策 中 立 
Y. Kain 
DTE 模型 R. O. Brien and C. Rogers 1991 政策 中 立 
RBAC 模型 R. S. Sandhu 1996 政策 中 立 
格 模型 Dorothy D. Denning 1976 bein 
信息 流 模型 
无 干扰 模型 J. A. Goguen and J. Meseguer 1982 "mE 
完整 性 


访问 控制 模型 是 现实 公文 世界 保密 管理 机 制 的 数学 抽象 ,这 种 模型 试图 通过 控 
制 系统 的 行为 来 保证 系统 的 安全 性 ,访问 控制 也 是 比较 成 熟 的 系统 安全 技术 。 信 息 
流 模型 "号 的 目的 是 控制 系统 内 部 的 信息 流 ,阻止 未 经 许可 的 信息 流 。 因 此 ,信息 
流 模 型 研究 的 是 信息 在 系统 各 实体 中 的 流动 以 及 由 此 所 产生 的 系统 实体 间 的 相互 关 
系 。 与 访问 控制 模型 相 比较 ,信息 流 模型 在 本 质 上 更 抽象 ,实现 也 更 困难 ,因而 很 少 
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有 实用 的 系统 采用 信息 流 模型 。 

BLP 模型 9% 中 是 第 一 个 、 也 是 最 经 典 的 机 密 性 访问 控制 模型 ,是 根据 军事 安全 
策略 设计 开发 的 ,其 安全 级 别 的 划分 建立 在 政府 和 军事 信息 分 类 分 级 的 基础 上 ,被 认 
为 是 目前 最 成 功 的 机 密 性 策略 模型 。BLP 模型 及 其 变 体 模型 几乎 在 每 个 安全 操作 系 
统 中 都 得 到 实现 。 同 时 ,BLP 模型 也 是 TCSEC 标准 的 理论 基础 。 

Biba 模型 "是 第 一 个 以 完整 性 保护 为 目标 的 安全 模型 , 它 基 于 完整 性 级 别 的 层 
次 格 来 实现 完整 性 保护 ,其 数学 描述 与 BLP 模型 类 似 ,但 是 ,Biba 模型 最 大 的 问题 是 
它 不 是 源 于 实际 的 安全 需求 ,而 是 建立 在 对 安全 模型 进行 数学 分 析 的 基础 上 ,缺乏 应 
用 背景 ,这 使 得 Biba 模型 难以 在 实际 中 得 到 应 用 。 但 是 Biba 模型 的 完整 级 约束 的 思 
想 在 系统 的 配置 策略 中 却 被 广泛 使 用 。 

Clark-Wilson 模型 I 是 目前 最 能 反映 完整 性 保护 需求 的 模型 , 它 来 源 于 久 经 
验 的 商业 方法 ,针对 的 威胁 是 由 于 操作 失误 或 者 商业 欺诈 而 导致 的 商务 交易 受 损 , 因 
此 Clark-Wilson 模型 比 Biba 模型 更 实用 。 

中 国 墙 安 全 模型 是 以 机 密 性 保护 为 目标 的 商用 模型 ,模型 的 基本 思想 是 想 防 
止 企业 雇 员 访问 利益 冲突 双方 的 信息 。 这 个 模型 特别 适用 于 专业 化 的 金融 领域 , 例 
如 ,证券 分 析 师 可 以 为 很 多 公司 工作 ,但 是 ,每 次 当 分 析 师 获取 某 公 司 内 部 敏感 信息 
时 ,该 模型 阻止 他 同时 为 同行 业 的 其 他 公司 工作 ,因为 同行 业 的 公司 之 间 存 在 利益 冲 
突 。 该 模型 在 证 券 分 析 师 和 同行 业 的 其 他 公司 之 间 装 上 一 堵 “* 中 国 墙 ”。 

TE 和 DTE5o 模 型 通过 对 主体 和 客体 的 聚 类 ,压缩 了 传统 的 访问 控制 矩阵 的 
规模 ,降低 了 系统 存储 和 搜索 访问 权限 的 代价 ,提高 了 访问 决策 效率 。 其 访问 权限 可 
以 灵活 配置 ,以 实现 多 种 不 同 的 安全 目标 ,因此 得 到 了 广泛 的 应 用 。 严 格 来 说 ,TE 和 
DTE 更 像 是 一 种 安全 实现 机 制 ,而 非 安全 模型 。 

RBAC 模型 0%"' 归 通过 角色 划分 实现 用 户 会话、 角色 ,权限 的 动态 配置 和 访问 控 
制 ,可 用 于 表达 不 同 的 安全 策略 。 从 实际 应 用 看 ,直接 用 角色 来 限制 主体 对 客体 的 访 
问 对 大 多 数 应 用 来 说 ,只 是 一 种 粗 粒度 的 控制 。 

HRU 模型 0 给 出 的 是 一 个 基于 访问 矩阵 的 模型 系统 ,但 该 模型 具有 很 弱 的 安 
全 性 质 , 很 多 关心 实际 问题 的 安全 策略 往往 会 落 入 HRU 模型 中 的 不 可 确定 的 情 
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况 中 。 

尽管 这 些 安全 模型 以 往 是 被 应 用 于 安全 操作 系统 的 开发 中 ,但 是 深入 探讨 它们 
实现 安全 保护 的 理论 依据 和 安全 机 制 ,分 析 它 们 的 不 足 , 针 对 可 信 BIOS 运行 环境 和 
安全 需求 在 一 个 或 多 个 模型 的 基础 上 进行 改进 或 综合 ,对 形成 适合 于 指导 可 信 BIOS 
开发 的 安全 策略 模型 ,还 是 具有 借鉴 和 指导 意义 的 。 


6.4.2 BLP 模型 


D. Elliott Bell 和 Leonard J. LaPadula 在 1973 年 提出 的 BLP 模型 是 第 一 个 形式 
化 的 安全 系统 数学 模型 ,1976 年 ,Bell 和 LaPadula 在 研究 报告 3 中 给 出 了 BLP 模型 
改进 的 完整 表述 。BLP 模型 能 有 效 地 防止 信息 从 一 个 高 安全 级 流向 低 安全 级 ,主要 
应 用 在 军事 安全 领域 等 具有 严格 安全 等 级 划分 的 领域 中 。 

BLP 模型 是 一 个 状态 机 模型 , 它 形式 化 地 定义 了 系统 .系统 状态 以 及 系统 状态 间 
的 转换 规则 ; 系统 状态 和 状态 转换 规则 的 限制 和 约束 依赖 于 模型 所 制定 的 一 组 安全 
特性 。 对 于 一 个 系统 而 言 ,如 果 它 的 初始 状态 是 安全 的 ,并 且 所 经 过 的 一 系列 规则 转 
换 都 遵循 该 组 特性 ,那么 可 以 证 明 系 统 是 安全 的 。 

BLP 模型 所 使 用 的 主要 模型 元 素 包括 : 

EW: Si'SiES,S 是 主体 的 集合 ， 

客体 : Oj,OiEO,O 是 客体 的 集合 ; 

访问 属性 : x.x€ A. A 是 访问 属性 集 ; A— {e,r,a,w}),e 表示 执行 ; r 表示 只 读 ; 
a 表示 只 写 ; w 表示 读 写 ; 

访问 : (Si,Oj,x) € b. b 是 所 有 当前 访问 的 集合 ; 

客体 层次 结构 : H, H 是 一 个 或 多 个 树 形 层次 结构 的 集合 ,表示 客体 之 间 离 散 的 
或 层次 的 关系 ; 

自主 访问 和 矩阵: M, 和 矩阵 元 素 Mij 表示 主体 Si 对 客体 Oj 的 访问 属性 ; 

安全 敏感 级 : 表示 主体 或 客体 的 密级 ,如 非 密 、 机 密 、 秘 密 、 绝 密 , 通 常用 整数 
表示 ; 
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安全 类 属 : 表示 主体 允许 访问 的 客体 类 型 范围 ; 

安全 等 级 : (安全 敏感 级 ,安全 类 属 集合 ) 的 序 偶 对 ; 安全 等 级 之 间 建 立 一 种 称 为 
“支配 ”的 偏 序 关系 ,用 三 表示 。 安 全 等 级 (L,C) 三 (L',C') 当 且 仅 当 L 三 L' 并 且 C'C 
C; 支配 关系 具有 自 反 性 、 反 对 称 性 和 传递 性 的 数学 性 质 ; 

等 级 函数 : f= (CIS TO £O) ) fS (Sd RAR EM Si 的 最 大 安全 等 级 ,{O(Oj) 表 示 
客体 安全 等 级 ,fC(Si) 表 示 主 体 当 前 访问 安全 等 级 ; 

系统 状态 : v=(b.M.f.H). 

在 此 基础 上 ,BLP 模型 定义 了 三 种 安全 特性 。 


1. 简单 安全 特性 (ss- 特 性 ) 


当 且 仅 当 符 合 下 面 的 条 件 时 ,状态 v=(b,M,f,H) 和 所 有 访问 (S,O,x)Eb A iili 
足 简 单 安 全 特性 的 : 

x—e Ka MH 

x=r & wJ} H {S(S) 三 {0(0) 


2. 星 号 安全 特性 (* -特性 ) 


当 且 仅 当 符合 下 面 的 条 件 时 ,状态 v=(b,M,f,H) 和 所 有 访问 (S,O,x) Eb 是 满 
足 星 号 安全 特性 的 : 

(S,0,2) € b => fOCO) = fCCS) 

(S,0,w) € b => fO(O) = fC(S) 

(S.0.r) € b => {C(S) = fOCO) 

由 于 支配 关系 具有 传递 性 ,因此 由 * -特性 可 以 推导 出 下 面 的 结果 : 

(S,Oj,a)Eb 并 且 (S,Ok,mDeEb => {O(OiD) 三 fOCOk) 


3. 自主 安全 特性 (ds- 特 性 ) 


当 且 仅 当 符合 下 面 的 条 件 时 ,状态 v=(b,M,f,H) 和 所 有 访问 (S,O,x) Eb 是 满 
足 自主 安全 特性 的 : 
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(Si,Oj,x)Eb=> x € Mij 
其 中 ,ss- 属 性 和 x* -属性 属于 强制 访问 控制 (Mandatory Access Control, MAC) ,ds- 属 
性 属于 自主 访问 控制 (Discretionary Access Control,DAC) 。ds- 属 性 是 为 了 解决 现实 
中 对 应 的 need to know 的 问题 。 

BLP 基本 安全 定理 ”如果 系统 的 初始 状态 是 安全 的 ,并 且 系统 状态 的 每 一 次 迁 
移 都 满足 ss- 属 性 、* -属性 和 ds- 属 性 , 则 系统 的 每 一 个 后 继 状 态 都 是 安全 的 。 

BLP 模型 的 安全 目标 是 防止 敏感 信息 的 泄漏 ,其 安全 属性 表达 的 安全 思想 简单 
地 可 以 概括 为 * 读 低 写 高 ”", 即 主体 只 能 读 取 安 全 级 别 低 于 (包括 等 于 ) 自 身 被 赋予 的 
安全 级 别 的 客体 ,只 能 改写 安全 级 别 高 于 (包括 等 于 ) 自 身 被 赋予 的 安全 级 别 的 客体 。 
由 于 这 种 安全 级 别 的 划分 和 安全 思想 直接 来 源 于 军事 和 政府 保密 的 客观 现实 世界 的 
要 求 , 因 此 在 对 保密 性 保护 要 求 较 高 的 安全 信息 系统 中 得 到 了 广泛 的 应 用 。 可 以 说 ， 
BLP 模型 是 严格 保密 性 安全 模型 的 典范 ,有 着 不 可 取代 的 历史 作用 和 长 盛 不 衰 的 生 
命 力 。 


6.4.3 BiBa 模型 


BT. BLP 模型 安全 级 的 概念 ,1977 年 K. J. Biba 提出 第 一 个 解决 计算 机 系统 
完整 性 安全 属性 问题 的 模型 , 称 为 Biba 模型 cs] 。 

Biba 模型 的 完整 性 是 在 系统 子 集 上 评估 的 ,系统 子 集 是 指 那些 根据 函数 或 优先 
级 分 离 出 来 的 系统 主体 和 客体 所 组 成 的 子 集 。Biba 模型 将 完整 性 威胁 划分 为 内 部 威 
胁 和 外 部 威胁 两 种 : 如 果子 系统 中 的 一 个 组 件 是 恶意 的 或 不 正确 的 ,那么 就 会 产生 
内 部 威胁 ; 如 果 一 个 子 系统 试图 通过 提供 错误 信息 或 错误 的 调用 函数 来 自 改 另外 一 
个 子 系统 的 状态 .那么 就 会 引起 外 部 威胁 。Biba 认为 内 部 威胁 可 以 通过 程序 的 测试 
和 校 验 解决 ,Biba 模型 只 处 理 外 部 威胁 。 

Biba 模型 描述 的 基本 元 素 包 括 : 

S. 主体 集合 ; 

O: 客体 集合 ; 


C Fi 
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I. 完整 性 级 别 集合 ; 

il; 定义 主体 和 客体 完整 级 别 的 函数 ; 

leq: 定义 1 上 偏 序 “ 低 于 或 等 于 ”的 关系 ; 
min; 返回 I 的 某 子 集中 最 大 下 界 的 函数 ; 
o: 主体 查看 (observe) 客 体 的 授权 关系 ; 
m: 主体 修改 (modify) 客 体 的 授权 关系 ; 

i; 主体 调用 (invoke) 客 体 的 授权 关系 。 
Biba 模型 支持 5 种 不 同 的 完整 性 安全 策略 : 


1. 低 水 标 策略 (The Low-Water Mark Policy) 


在 该 策略 中 ,每 个 主体 的 完整 级 别 是 动态 单调 , 非 递 增 变化 地 。 在 任何 时 刻 , 主 
体 的 函数 值 il(s) 都 反映 了 该 主体 前 一 状态 的 最 低 点 。 主 体 的 低 水 标 是 主体 能 够 查看 
的 客体 的 最 小 完整 级 别 ,并 且 主 体 被 限制 只 能 修改 那些 完整 级 别 小 于 或 等 于 自身 完 
整 级 别 的 客体 ,一 个 主体 只 能 调用 完整 级 别 小 于 或 等 于 自身 完整 级 别 的 另 一 个 主体 。 
该 策略 形式 化 的 表示 为 : 

对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 

soo => il’(s)=min(il(s) ,il(0)) 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 
smo => ilCo) leq il(s) 
对 于 任意 两 个 主体 s1 和 s2 
sl i s2 => il(s2) leq il(s1) 
在 该 策略 中 , 随 着 主体 对 客体 的 不 断 访问 ,主体 完整 级 别 保持 单调 非 递增 。 


2. 客体 低 水 标 策 略 (A Low-Water Mark for Objects) 


在 客体 低 水 标 策 略 中 ,主体 的 完整 级 别 仍然 随 着 对 客体 的 读 取 访问 而 保持 单调 
非 递增 动态 变化 ,而 客体 的 完整 级 别 ,也 会 随 着 主体 对 客体 的 修改 访问 而 保持 单调 非 
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递增 动态 变化 。 该 策略 可 形式 化 地 表示 为 : 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 
s o o => il’(s)=min(il(s) .ilCo)) 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 
s m o => il’(o)=min(il(s) ,il(0)) 


3. 低 水 标 完整 性 审计 策略 


在 该 策略 中 ,为 每 个 主体 和 客体 定义 了 一 个 clCcurrent corruption level) 完整 性 
级 别 函 数 ,cl 函数 的 取 值 规定 为 : 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 
soo => cl'(s) 72 minCclCs) .clCo)) 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 


smo => cl’(o)=min(cl(s) ,cl(o)) 
4. 环 策略 (The Ring Policy) 


环 策略 为 直接 修改 的 保护 策略 提供 了 核心 实现 。 在 主体 和 客体 的 生存 周期 内 ， 
它们 的 完整 级 别 是 固定 不 变 的 ,而 且 只 允许 对 那些 完整 级 别 小 于 或 等 于 主体 的 客体 
进行 修改 。 由 于 允许 读 取 任 何 完 整 级 别 的 客体 ,系统 的 灵活 性 得 到 极 大 的 提高 。 环 
策略 可 以 形式 化 表述 为 : 

对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 

sm o => ilCo) leq il(s) 

对 于 任意 两 个 主体 sl1 和 s2 

sl i s2 => il(s2) leq ilCs1) 


5. 严格 完整 性 策略 (The strict Integrity Policy) 


严格 完整 性 策略 可 以 看 成 是 BLP 模型 的 反 转 模型 ,此 策略 的 前 两 条 规则 直接 对 


C F 
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应 BLP 模型 的 ss- 特 性 和 * -特性 ,但 是 增加 了 对 调用 操作 的 完整 级 别 的 限制 。 该 策 
略 的 三 条 规则 可 形式 化 表述 为 : 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 
soo => il(s) leq il(o) 
对 于 S 中 的 任意 主体 s 和 O 中 的 任意 客体 o 
smo => ilCo) leq il(s) 
对 于 任意 两 个 主体 sl 和 s2 
sl i s2 => ilCs2) leq il(s1) 

Biba 模型 的 严格 完整 性 策略 的 基本 思想 可 以 简单 地 概括 为 “ 读 高 写 低 ”, 即 主体 
只 能 读 取 完整 性 级 别 高 于 (包括 等 于 ) 自 己 被 赋予 的 完整 性 级 别 的 客体 ,只 能 改写 完 
整 性 级 别 低 于 (包括 等 于 ) 自 己 被 赋予 的 完整 性 级 别 的 客体 。 

Biba 模型 是 经 典 的 完整 性 模型 ,特别 是 它 的 严格 完整 性 策略 ,与 BLP 模型 是 异 
曲 同 工 的 。 但 是 它 存 在 的 最 大 缺点 在 于 : 完整 性 级 别 划分 困难 ,有 时 即使 强行 划分 
了 ,也 是 无 实际 意义 的 ,这 样 导 致 难以 在 具体 系统 中 得 到 应 用 ,而 BLP 模型 安全 级 别 
是 一 种 很 自然 的 划分 。 


6.4.4 Clark-Wilson 模型 


1987 年 ,David D. Clark 和 David R. Wilson 比较 了 计算 机 系统 中 军用 安全 目标 
和 商用 安全 目标 的 不 同 ,指出 军用 安全 目标 的 重点 是 控制 敏感 信息 的 泄漏 和 分 级 访 
Ta] ,而 商用 安全 目标 则 更 关注 信息 的 正确 性 、 无 算 改 ,无 错误 ,前 者 更 关注 信息 的 保密 
性 ,后 者 更 关注 信息 的 完整 性 ,军用 的 安全 策略 和 实现 机 制 并 不 完全 适用 于 商用 系 
统 ; 并 根据 商用 实际 安全 需求 提出 了 商用 的 完整 性 安全 模型 , 称 为 Clark- Wilson 
gine, 

Clark-Wilson 模型 提出 以 良 构 事务 (well-formed transaction) 和 职责 分 离 
(separation of duty) 为 核心 的 安全 策略 。 良 构 事务 要 求 用 户 程 序 不 能 够 随意 处 理 系 
统 数据 ,而 必须 受 限 于 某 些 操作 规则 以 保障 数据 的 内 在 一 致 性 。 职 责 分 离 要 求 每 个 
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操作 被 分 成 多 个 步骤 ,并 且 每 个 步骤 由 不 同 的 用 户 来 完成 ,以 保障 数据 的 外 在 一 致 
性 。 特 别 地 ,通常 要 求 由 一 个 用 户 创建 良 构 事务 ,而 由 另 一 个 不 同 的 用 户 来 执行 该 事 
务 , 创 建 者 不 能 执行 自己 创建 的 良 构 事务 。 

系统 只 包含 两 种 完整 性 级 别 的 数据 : 受 限 数据 项 (Constrained Data Items, 
CDIs) 和 非 受 限 数 据 项 (Unconstrained Data Items,UDIs)。CDIs 是 在 系统 状态 转换 
过 程 中 完整 性 必须 得 到 保障 的 数据 项 ,UDIs 的 完整 性 则 不 受 系统 保护 。 系 统 允许 
UDIs 在 合法 规则 的 操作 下 转换 成 CDIs。 系 统 日 志 属于 只 允许 追加 写 操作 (append- 
only) 的 CDIs。 

系统 中 定义 了 两 类 过 程 : 完整 性 验证 过 程 (Integrity Verification Procedures. 
IVPs) 和 转换 过 程 (Transformation Procedures,TPs)。IVPs 用 于 验证 在 某 系统 状态 
下 CDIs 的 完整 性 。TPs 都 是 良 构 事务 ,负责 将 CDIs 从 一 个 有 效 状 态 转换 到 另 一 个 
有 效 状态 。 系 统 中 只 允许 通过 TPs 对 CDIs 进行 操作 和 转换 。 

Clark-Wilson 模型 定义 了 9 条 完整 性 保障 规则 以 保证 该 模型 安全 策略 的 有 效 实 
施 , 包 括 5 条 认证 规则 (Certification rules. CI-C50 &I 4 条 执行 规则 (Enforcement 
rules,El-E4)。 认 证 规则 由 系统 管理 员 ,安全 管理 员 等 实施 ,以 保证 TPs 和 IVPs 是 
任 合 完整 性 策略 的 ; 执行 规则 由 计算 机 系统 强制 实施 。 

C1: IVP 必须 确保 所 有 的 CDIs 处 于 有 效 状 态 中 。 

C2: TP 必须 确保 对 任 一 个 CDI 的 操作 结果 仍然 是 一 个 有 效 的 CDI, 安 全 管理 者 
必须 指定 TP 和 CDIs 的 初始 操作 关系 列表 (TPi, (CDIa.CDIb,CDIc,…))。 

El: 只 有 经 过 认证 的 TP 才能 操作 CDI, 系统 必须 维持 (TPi, (CDIa,CDIb,CDIc,…)) 
关系 列表 。 

以 上 三 条 规则 保障 CDIs 的 内 在 一 致 性 。 

E2: 系统 必须 维持 一 个 访问 三 元 组 列表 (UserID,TPi, (CDIa,CDIb,CDIc,…))， 
用 户 只 能 通过 被 授权 执行 的 TP 访问 CDI. 

C3: E2 中 的 访问 操作 必须 满足 职责 分 离 要 求 。 

E3: 系统 必须 对 请 求 执行 TP 的 用 户 进行 身份 认证 。 

以 上 三 条 规则 保障 CDIs 的 外 在 一 致 性 和 职责 分 离 策 略 。 
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C4. 所 有 TPs 的 行为 必须 被 记录 到 日 志 CDIs 中 以 允许 对 其 操作 进行 重 构 。 

C5: TP 对 UDI 操作 的 结果 ,要 么 是 将 其 转换 为 一 个 CDI, 要 么 将 其 遗弃 。 

E4: 只 有 系统 特定 的 认证 管理 员 才 能 修改 关系 操作 列表 。 特 别 地 ,认证 管理 员 
不 具有 执行 管理 列表 中 任何 TPs 的 权限 。 

图 6.4 总 结 了 Clark-Wilson 模型 中 这 些 规则 是 如 何 对 系统 中 的 数据 进行 完整 性 
保护 的 。 


E2 : 用 户 被 授权 执行 TP 
C3 : 职责 分 离 


C1: 1VPs 验 证 CDI 状 态 


C5: TPs 验 证 UDI 


E4: 授权 列表 只 能 由 
安全 管理 员 修改 


E1: CDIs 只 能 被 授权 TPs 修 改 7C 


图 6.4 Clark-Wilson 模型 的 完整 性 规则 


Clark-Wilson 模型 被 认为 是 实现 了 全 部 三 个 完整 性 保护 目标 的 安全 模型 "9 , 
IVP fü TP 验证 了 数据 的 内 在 和 外 在 的 一 致 性 ,访问 权限 列表 阻止 了 非 授 权 用 户 对 
数据 的 修改 ,职责 分 离 防止 了 授权 用 户 对 数据 的 非法 修改 。 

同 Biba 模型 相 比 较 ,Clark-Wilson 模型 来 源 于 久 经 考验 的 商业 方法 ,这 种 方法 已 
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在 现实 世界 中 使 用 了 很 多 年 且 被 证 明 是 行 之 有 效 的 ,因此 Clark-Wilson 模型 比 Biba 
模型 更 实用 。 


6.5 可 信和 固件 的 保护 环 模型 


固件 系统 不 同 于 操作 系统 , 它 不 像 操作 系统 一 样 是 一 个 多 用 户 、 多 进程 的 系统 ,而 
且 固 件 操作 系统 同 用 户 的 交互 ,也 一 般 只 是 通过 BIOS setup 模块 来 实现 对 系统 和 平台 
参数 的 一 些 配置 。 但 是 ,由 于 固件 系统 处 在 底层 ,操作 系统 需要 依靠 固件 系统 来 装载 引 
导 , 如 果 固件 系统 受 损 , 则 操作 系统 也 无 法 引导 运行 ,计算 机 系统 将 变 得 不 可 使 用 。 

对 固件 系统 的 保护 ,通过 本 书 前 面 的 分 析 可 知 ,主要 是 固件 系统 的 完整 性 保护 。 
一 方面 ,保护 固件 系统 的 代码 是 完整 的 ,阻止 人 侵 的 恶意 代码 的 执行 ,防止 对 系统 代 
码 算 改 造成 的 拒绝 服务 攻击 ; 另 一 方面 ,保护 固件 系统 配置 数据 的 完整 性 ,防止 一 些 
关键 的 配置 数据 不 正确 而 造成 固件 系统 无 法 启动 运行 ,或 者 导致 某 些 关键 设备 不 可 
使 用 。 

以 Clark-Wilson 模型 为 基础 ,本 节 综 合 Biba 模型 严格 完整 性 策略 的 “ 读 高 写 低 ” 
思想 .Clark-Wilson 模型 的 “ 良 构 事 务 " 和 完整 性 验证 思想 ,针对 固件 系统 的 代码 和 数 
据 类 型 特点 ,对 固件 系统 的 代码 和 数据 划分 了 完整 性 级 别 , 提 出 了 对 固件 的 代码 和 数 
据 进行 完整 性 保护 的 可 信和 固件 保护 环 模型 (Protected-Ring Model) 。 该 模型 同 Clark- 
Wilson 模型 相 比 较 可 实现 性 更 强 。 

在 该 模型 中 ,划分 了 两 类 数据 项 : 受 保护 数据 项 (Protected Data Item,PDI) 和 不 受 
保护 数据 项 (Non-protected Data Item. NDD 。 即 在 固件 系统 中 ,数据 集合 DATA H: 

PDS= Set of PDI 


NDS= Set of NDI 
DATA=PDS U NDS 


PDS 是 固件 正常 运行 所 需要 的 最 小 数据 的 集合 ,如 果 PDS 中 存在 任何 一 项 错误 
的 数据 , 则 会 导致 固件 不 能 正常 运行 和 引导 操作 系统 。PDS 中 主要 包含 跟 平台 芯片 、 
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外 围 固定 设备 控制 器 的 设置 参数 以 及 固件 查找 引导 记录 的 顺序 等 重要 数据 。NDS 
中 的 数据 则 不 是 那么 重要 ,即使 存在 错误 也 不 会 影响 固件 正常 运行 和 操作 系统 引导 ， 
这 些 数 据 如 系统 时 间 日 期 以 及 其 他 一 些 同 固定 硬件 平台 无 关 的 配置 信息 。 

保护 环 模型 中 ,将 固件 环境 中 的 代码 划分 为 3 类 : 核心 可 信 代 码 (Core Trusted 
Code. CTC) , 3€ 3i FT fi 4R 15 (Ordinary Trusted Code. OTC) fll JE FT fci f& 88 CUn- 
Trusted Code, UTC) 。 即 固件 系统 代码 CODE 为 : 


CTS=Set of CTC 

OTS=Set of OTC 

UTS=Set of UTC 

CODE=CTS U OTS U UTS 

核心 可 信 代 码 是 固件 系统 的 基础 代码 构成 部 分 ,是 固件 系统 能 够 正常 运行 和 
加 载 引 导 操 作 系统 的 那些 代码 。 普 通 可 信 代 码 是 运行 于 固件 平台 上 的 附加 的 应 用 
程序 .驱动 .协议 以 及 其 他 第 三 方 厂商 或 用 户 定制 工具 。CTC 和 OTC 要 求 能 够 
通过 代码 自身 包含 的 信息 实现 对 代码 生产 者 或 拥有 者 的 认证 。 非 可 信人 代码 是 不 
能 被 证 明 拥有 合法 生产 者 或 用 户 身份 的 用 户 代 码 、` 第 三 方 工具 代码 或 其 他 恶意 
代码 等 。 

CTS, PDS 以 及 CRTM 构成 一 个 最 小 可 执行 的 固件 系统 。 

定义 允许 的 操作 集合 : 


OPERATION= {r, m, e} 


操作 r 允许 对 数据 进行 读 取 ,操作 m 允许 对 数据 进行 修改 (包括 追加 ) ,操作 。 允 
许 代码 被 执行 (包括 从 一 个 代码 中 调用 另外 一 个 代码 ) 。 
定义 代码 完整 性 认证 函数 代码 可 执行 认证 函数 和 代码 类 属 认证 函数 如 下 : 


Alc) —0,c € CODE FFA c 是 不 完整 的 ; 
AlCc) —1,c € CODE FFA c 是 完整 的 ; 
AE(c)=e,c € CODE 并 且 c 是 允许 执行 的 ; 


AE(c) 一 ”ec € CODE 并 且 c 是 禁止 被 执行 的 ; 
AC(c) 一 CT,c € CTS; 
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AC(c)=OT,c € OTS; 

AC(c)=UT,c € UTS; 

可 信 固 件 的 保护 环 模型 核心 策略 是 通过 保护 固件 系统 运行 所 需要 的 关键 代码 和 
数据 的 完整 性 ,保有 一 个 最 小 可 用 固件 系统 。 模 型 的 保护 策略 是 通过 以 下 8 条 强制 
性 实施 规则 (Mandatory Enforcement Rules, MER1-MER8) 来 保障 的 。 

MER1: 只 有 完整 的 可 信 代 码 才 允许 被 加 载 执行 , 即 


Vc € CODE AE(c)=e => Al(c) —1 and (AC(c) =CT or AC(c) 2OT) 


MER1 JI EH. 1E dE n] fri 893 89 Duft «n BA, SU [ST PF R BE PD RE RSs MERI 
规则 同时 也 阻止 完整 性 被 破坏 的 可 信 代 码 的 执行 ,以 避免 内 容 被 自 改 的 可 信 代 码 的 
执行 对 系统 造成 损害 。 

MER2: 只 有 核心 可 信 代 码 才 被 允许 修改 受 保护 数据 项 , 即 


Vc € CODE Vd €PDSc md => AC(c)=CT and Al(c)=1 


如 果 人 允许 普通 可 信 代 码 对 受 保护 数据 项 进行 直接 修改 ,可 能 会 使 修改 后 的 数据 
项 内 容 不 合适 而 导致 固件 系统 不 能 正常 运行 。 例 如 ,一 个 经 过 认证 的 普通 用 户 的 固 
件 应 用 程序 可 能 会 试图 改变 系统 引导 顺序 ,或 者 修改 硬盘 参数 ,而 普通 用 户 可 能 由 于 
对 系统 平台 不 够 了 解 而 使 这 些 参 数 引起 冲突 或 不 能 适合 于 硬件 平台 ,从 而 导致 固件 
系统 不 能 正常 运行 。 

MER3: CRTM 维持 并 保护 CTS 和 PDS 列表 集合 。 

恶意 用 户 可 能 通过 固件 系统 外 部 的 技术 手段 对 CTC 代码 类 属 进行 算 改 ,导致 系 
统 对 一 个 本 来 是 cE CTS 的 核心 可 信 代 码 c 进行 认证 时 ,AC(c) 取 CT, 从 而 造成 对 系 
统 的 拒绝 服务 攻击 。CRTM 可 以 通过 自身 维护 的 CTS 列表 来 获知 这 一 算 改 ,并 在 
CTC 受到 此 种 自 改 时 做 出 正确 的 反应 ,如 启动 可 信 恢 复 。 

MER4: 用 户 必 须 经 过 认证 才能 使 用 CTC 或 OTC 访问 或 修改 系统 数据 。 

某 些 CTC 允许 用 户 通 过 交互 方式 对 系统 的 PDI 进行 修改 ,如 BIOS setup 程序 。 
因此 ,对 这 些 交互 用 户 进行 身份 认证 是 系统 安全 重要 的 一 个 环节 。 
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MER5: 在 保证 最 小 系统 可 用 性 的 前 提 下 ,允许 安全 管理 员 (Security Administrator. 
SA) 对 CTC,OTC,UTC 进行 转换 ,或 对 PDI, NDI 进行 相互 转换 ,并 对 CRTM 中 的 
CTS 和 PDS 列表 集合 作 相 应 的 维护 。 

这 条 规则 在 保障 系统 安全 的 前 提 下 ,赋予 系统 更 大 的 灵活 性 ,以 适应 硬件 平台 
临时 变动 和 安全 管理 .应 用 的 操作 需求 的 变化 。 

MER6: 系统 中 所 有 对 代码 的 可 信 测 量 、 对 用 户 的 认证 和 对 PDI 的 修改 操作 必须 
记录 到 日 志 中 。 

MER7: CRTM 负责 提供 对 PDI 修改 访问 的 仲裁 保护 ,并 在 CTC 和 PDI 完整 性 
受到 破坏 时 ,启动 可 信和 恢复 过 程 。 

一 旦 加 载 执行 的 OTC 可 能 会 违反 规则 试图 对 PDS 中 的 PDI 进行 修改 操作 ， 
CRTM 能 够 制止 这 种 修改 ; 当 发 现 某 个 或 某 些 CTC 内 容 或 身份 被 算 改 而 造成 系统 
不 能 继续 安全 运行 时 ,CRTM 要 及 时 对 系统 作 可 信 恢 复 。 

MER8: CRTM 必须 受到 物理 的 硬件 保护 。 

通过 以 上 8 条 规则 ,保护 环 模型 能 够 很 好 地 对 固件 系统 的 完整 性 和 可 用 性 实施 
保护 。 

图 6. 5 是 保护 环 模 型 的 环 结构 示意 图 。 


SA 
wid a 市 入 入 互 则 转换 


BIOS 运 行 环境 


图 6.5 可 信和 固件 保护 环 模型 的 环 结构 
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最 内 层 环 是 CRTM, 受 物理 硬件 保护 ,只 能 通过 外 部 物理 手段 进行 更 新 。CTS 
和 PDS 构成 第 二 层 环 ,其 中 包含 的 CTC 和 PDI 完整 性 被 破坏 后 会 触发 CRTM 的 可 
信和 恢复 机 制 ; 第 一 层 和 第 二 层 构 成 固件 系统 的 最 小 可 执行 系统 ; OTS 和 NDS 构成 
第 三 层 环 , 环 中 NDS 包含 的 NDI 不 受 保护 ,即使 被 破坏 也 不 影响 固件 系统 的 正常 运 
行 和 引导 操作 系统 , 环 中 OTS 包含 的 OTC 完整 性 被 破坏 时 ,会 影响 部 分 非 关 键 或 附 
加 功能 的 正常 应 用 ,但 不 妨碍 BIOS 系统 正常 运行 和 引导 操作 系统 ; 环 外 的 UTC 由 
于 不 可 信 , 所 以 即使 被 嵌入 到 BIOS flash 中 也 不 会 被 执行 ,如 嵌入 固件 中 的 木马 、 恶 
意 代 码 或 其 他 未 经 认证 的 第 三 方 工具 程序 和 增值 代码 等 。 这 三 层 环 构成 固件 系统 的 
动态 运行 环境 。 而 UTC 属于 不 可 信 代 码 ,不 会 被 加 载 到 固件 执行 环境 中 执行 。 

当 由 于 硬件 平台 的 变化 .服务 和 管理 需求 变更 导致 需要 对 PDS 和 NDS 中 的 数 
据 项 进行 调整 ,或 者 需要 将 新 开发 的 增值 服务 程序 嵌入 到 固件 系统 中 时 ,需要 特定 的 
安全 管理 员 审 核 调 整 需求 ,按照 MER5 规则 调整 相关 项 并 更 新 固件 系统 。 

假设 保护 环 模型 的 初始 状态 是 可 信 的 。 在 系统 执行 过 程 中 ,MER1 一 MER8 能 
够 保护 代码 和 数据 的 完整 性 不 会 受到 破坏 ,因此 系统 运行 的 随后 状态 都 是 可 信和 的 。 
当 外 部 手段 导致 除 CRTM 外 的 其 他 部 分 (CTC、PDD 完 整 性 被 破坏 时 ,或 者 有 非 可 信 
代码 进入 时 ,如 操作 系统 下 的 用 户 可 能 通过 软件 修改 固件 内 容 或 者 向 固件 中 嵌入 新 
的 代码 等 ,CRTM 能 够 有 效 地 恢复 系统 并 保证 恢复 后 的 系统 是 可 信 的 ,因此 系统 的 
可 用 性 得 到 保障 。 


6.6 本 章 小 结 


从 2003 年 至 今 ,TCG 的 可 信 计 算 成 为 安全 界 的 热点 ,出 现 了 较 多 以 可 信 完 全 代 
蔡 安全 的 论调 。 本 章 通 过 考 较 在 不 同 历史 阶段 可 信和 安全 两 个 概念 的 使 用 情况 和 含 
义 , 得 出 可 信和 安全 的 本 质 是 行为 安全 的 结论 。 指 出 TCG 在 实现 规范 上 与 其 可 信和 概 
念 定义 之 间 存 在 的 差距 : 规范 实现 的 是 一 种 静态 信任 关系 的 度量 ,而 非 可 信和 概念 定 
义 的 行为 度量 。 因 此 可 以 说 按照 TCG 规范 实现 的 可 信 计 算 只 是 在 现 有 技术 条 件 下 
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能 够 实现 的 有 限 程 度 的 安全 ,是 安全 的 一 种 权宜 之 计 , 而 非 安 全 的 终极 目标 。 

本 章 内 容 是 安全 固件 开发 的 理论 基础 。 传 统 固件 BIOS 的 设计 和 实现 没有 考虑 
安全 问题 。 第 5 章 讨 论 了 现 有 传统 固件 BIOS 的 安全 保障 问题 ,本章 试图 设计 一 种 新 
的 安全 固件 产品 。 为 此 分 析 了 安全 固件 的 安全 需求 : 固件 自身 保护 需求 ; 固件 之 后 
的 OS Loader 验证 需求 ; 失败 自 恢复 需求 ,提出 适合 于 安全 固件 开发 的 可 信和 固件 保 
护 环 策略 模型 。 


第 7 章 
可 信 度 量 基 础 与 度量 方法 


TCG(Trusted Computing Group) 是 成 立 于 2003 4E flf] — 4 AE ZU I PE AY Es] Bas T. Ml. 
标准 组 织 ,其 前 身 是 1999 年 由 IBM, Intel, Microsoft 等 IT 巨头 发 起 成 立 的 TCPA 
(Trusted Computing Platform Alliance) 组 织 。TCG 组 织 的 目标 是 开发 .定义 和 促进 
基于 硬件 的 可 信 计 算 和 安全 技术 的 开放 性 统一 标准 。TCG 的 可 信和 规范 涵盖 九 个 方面 
的 内 容 , 即 基础 结构 、PC 终端 \. 服 务 器 .软件 栈 . 可 信和 网络 连接 、 移 动 设备 .存储 设备 .可 
信 平 台 模 块 , 硬 拷贝 设备 。TCG 可 信 计 算 以 可 信 平 台 模 块 (Trusted Platform Module, 
TPMD) 为 信任 根 ,定义 了 一 个 由 可 信和 实体 构造 的 分 层 结构 的 可 信 计 算 生 态 环境 。 

ASHE RS TOG 可 信 计 算 相 关 规 范 进行 介绍 和 分 析 , 在 这 些 规 范 的 基础 上 ,研究 建 
立 同 TCG 规范 相符 合 的 可 信和 固件 可 信和 度量 的 方法 和 机 制 。 


7.1 可 信 计 算 平 台 


可 信 计 算 平台 是 可 信 计 算 生 态 环境 中 的 计算 单元 ,典型 的 可 信 计 算 平台 是 可 信 
计算 机 。 
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7.1.1 可 信 计 算 机 参考 结构 


可 信 计 算 机 的 突出 特征 ,是 在 硬件 上 增加 了 可 信 计 算 模块 TPM 作为 平台 信任 的 
硬件 基础 。TCG 组 织 推 荐 的 可 信 计 算 机 参考 逻辑 结构 "3 如 图 7. 1 所 示 。 


Boot ROM 
RAM 
TPM 


CPU Controller 
Embedded 
= Devices 
Display 
Removable 
Devices 


图 7.1 可 信 计 算 机 参考 结构 


TOG 的 可 信 计 算 机 参考 结构 无 需 改 变现 行 计算 机 的 硬件 组 织 架 构 , 只 需要 通过 
外 围 总 线 将 TPM 连接 到 主板 上 即 可 。 目 前 通用 的 做 法 是 将 TPM 设备 通过 LPC 总 
线 连接 到 主板 上 的 南 桥 芯片 上 , 见 本 书 第 2 章 图 2.1、 图 2. 2 示例 。 由 于 TPM 芯片 是 
信息 安全 的 核心 部 件 ,不 可 避免 受到 各 国安 全 政策 和 标准 的 管制 ,因此 主板 厂商 通常 
只 在 主板 上 保留 一 个 TPM 插座 ,而 不 直接 将 TPM 芯片 焊接 到 主板 上 。 


7.1.2 可 信 平 台 的 基本 特性 


可 信 平 台 至 少 应 该 包含 三 个 基本 特性 : 保护 能 力 、 验 证 能 力 、 完 整 性 度量 和 
报告 。 

保护 能 力 提 供 对 敏感 信息 和 敏感 信息 存储 部 件 的 访问 保护 ,使 得 这 些 信息 只 能 
通过 独立 的 一 组 安全 命令 来 存 取 。 如 对 存储 在 TPM 中 的 完整 性 测量 值 的 保护 、 密 钥 
的 存储 保护 等 。 

验证 能 力 是 指 平台 能 够 证 实 信 息 或 实体 的 真实 性 的 能 力 ,如 TPM 的 身份 证 明 、 
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平台 身份 证 明 。 

完整 性 度量 过 程 是 指 收集 平台 数据 和 配置 信息 并 将 信息 摘要 保存 到 TPM 中 的 
PCR 中 ; 完整 性 报告 则 是 对 PCR 中 的 完整 性 测量 值 进行 验证 的 过 程 。 

以 上 三 个 基本 特性 保障 可 信 平 台 能 够 抵抗 自 改 攻击 ,证 明 平 台 代码 和 数据 的 完 
整 性 和 真实 性 ,从 而 安全 地 执行 代码 并 保护 敏感 数据 的 机 密 性 。 通 过 这 三 种 基本 特 
性 ,各 平台 间 能 够 建立 起 信任 关系 ,实现 可 信 计 算 生态 环境 的 构建 。 


7.1.3 信任 根 和 信任 链 


信任 根 是 可 信 平 台中 必须 被 无 条 件 信任 的 部 件 。 可 信 平 台 包含 三 种 信任 根 : 可 
信和 度量 根 (Root of Trust for Measurement, RTM), .可 信 存 储 根 (Root of Trust for 
Storage,RTS) 和 可 信 报 告 根 (Root of Trust for Reporting. RTR). 

RTM 是 完整 性 度量 的 计算 引擎 ,同时 也 是 信任 链 传递 的 起 点 。RTM 作为 可 信 
的 代码 是 主板 平台 启动 后 最 先 执行 的 代码 。 启 动 代码 随 着 平台 的 启动 ,通过 一 种 “ 信 
任 传递 ”的 过 程 将 信任 扩展 到 整个 平台 。 在 “信任 传递 ”过 程 中 ,前 一 阶段 的 代码 在 把 
控制 权 传递 给 下 一 阶段 前 , 先 测量 其 度量 值 ,并 把 度量 值 安全 地 保存 起 来 ,这 个 过 程 
反复 持续 下 去 ,直到 可 信和 的 操作 系统 启动 。 

RTS 是 维护 完整 性 度量 值 的 正确 性 和 度量 顺序 的 计算 引擎 。RTS 保护 所 有 委 
托 给 TPM 的 密 钥 和 数据 。RTS 基本 上 是 指 所 有 密 钥 管理 功能 ,包括 密 钥 产生 、 密 钥 
管理 ,加 密 和 解密 。 

RTR 是 能 够 安全 可 靠 地 对 RTS 存储 的 信息 进行 报告 的 计算 引擎 。RTR 允许 经 
过 验证 的 挑战 者 获取 受 TPM 保护 的 区 域 中 的 数据 ,包括 平台 配置 寄存 器 (PCRs) 和 
非 易 失 内 存 。 并 用 签名 密 钥 签名 证 实 这 些 数据 的 真实 性 。 其 中 平台 配置 寄存 器 不 仅 
保存 数据 ,而 且 记录 数据 被 保存 的 次 序 。 

从 RTM 开始 到 系统 固件 、 到 操作 系统 引导 程序 、 到 操作 系统 、 青 到 应 用 程序 , 计 
算 机 执行 通过 一 级 认证 一 级 一 级 信任 一 级 的 方式 ,把 这 种 信任 扩展 到 整个 计算 机 系 
统 , 实 现 从 硬件 到 软件 ,从 底层 到 上 层 的 信任 传递 ,构成 了 计算 机 系统 运行 的 信任 链 ， 
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其 中 信任 链 的 信任 根 由 物理 安全 和 管理 安全 确保 。 
7.1.4 可 信 平 台 模 块 


可 信 平 台 模块 (Trusted Platform Module,TPM) 是 可 信 计 算 的 核心 设备 ,是 可 信 
平台 的 硬件 基础 。TPM 是 一 个 含有 密码 运算 部 件 和 存储 部 件 的 小 型 片上 系统 。 作 
为 可 信 平 台 的 可 信 硬 件 基础 ,TPM 能 够 提供 可 信 计 算 平 台 的 三 种 基本 特性 ,是 可 信 
平台 三 种 可 信 根 的 硬件 基础 。TPM 的 结构 9 中 如 图 7.2 Bro 。 


密码 协 处 理 器 H 
| 密 钥 生成 器 
HMAC 引 擎 
e (3 
随机 数 产生 中 
SHA-1 引 擎 e an 
电源 检测 
状态 开关 
C7 
C8 | 执行 引擎 
非 易 失 性 存储 器 | < | 
C510 [ 易 失 性 存储 器 


图 7.2 TPM 的 部 件 结构 


输入 /输出 组 件 C0: 管理 着 通信 总 线 上 的 信息 流 。 它 为 外 部 和 内 部 总 线 的 通信 
执行 协议 编码 /解码 ,并 向 合适 的 组 件 发 送 消息 。I/O 组 件 执行 Opt-In 开关 组 件 和 需 
要 访问 控制 的 TPM 函数 的 访问 策略 。 

密码 协 处 理 器 C1: 实现 TPM 中 的 密码 操作 ,这 些 操作 包括 非 对 称 密 钥 生 成 
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CRSA) , 非 对 称 加 密 / 解 密 (RSA)、 散 列 (SHA-1)、 随 机 数 生成 (RNG)。TPM 使 用 这 
些 能 力 生成 随机 数 和 非 对 称 密 钥 ,对 存储 数据 签名 和 加 密 。TPM 也 可 以 实现 其 他 的 
非 对 称 算 法 ,使 用 不 同 的 算法 进行 签名 和 封装 。 密 码 协 处 理 器 也 包含 对 称 加 密 引 擎 ， 
TPM 使 用 对 称 加 密 对 认证 信息 进行 加 密 , 在 传输 会 话 中 提供 机 密 性 。 规 范 建 议 RSA 
密 钥 长 度 最 少 为 2048 位 。 

密 钥 生成 器 C2: 创建 RSA 密 钥 对 和 对 称 密 钥 。 

HMAC 引擎 C3: 执行 HMAC 计算 。HMAC 的 计算 遵照 RFC2104 中 的 定义 ， 
密 钥 的 长 度 (RFC2104 中 的 KK) 必须 为 20 字 节 。 分 组 大 小 (RFC 2104 中 的 B) 必 须 为 
64 字 节 。 

随机 数 产 生 器 C4: 它 是 TPM 中 随机 数 的 来 源 。TPM 使 用 这 些 随 机 数值 来 生 
成 密 钥 和 签名 所 需 的 随机 数 。TPM 在 每 次 调用 时 能 够 提供 32 位 的 随机 数 。 

SHA-1 引擎 C5: 散 列 能 力主 要 被 TPM 自身 使 用 ,是 散 列 算法 的 可 靠 实现 。 
TPM 向 外 部 提供 散 列 接口 以 支持 在 平台 导入 阶段 进行 度量 ,以 便 在 有 限 能 力 的 计算 
环境 下 能 够 使 用 TPM 的 散 列 函数 。TPM 实现 FIPS-180-1 中 定义 的 SHA-1 散 列 算 
ik.SHA-1 的 输出 为 160 位 。 

电源 检测 C6: 管理 TPM 的 电源 状态 。TCG 要 求 TPM 能 够 接受 计算 机 所 有 电 
源 状 态 的 变化 通知 ,而 且 电源 检测 也 支持 物理 在 线 声明 。 在 平台 操作 受到 物理 限制 
期 间 ,TPM 可 以 限制 命令 的 执行 。 在 PC 中 ,操作 的 限制 出 现在 上 电 自 检 CPOST) 期 
Ta] ,这 时 往往 要 求 操作 员 通 过 键盘 输入 声明 物理 在 线 。 在 受 限 制 执行 模式 或 导 和 人 状 
态 ,TPM 可 以 允许 访问 某 些 命令 。 

状态 开关 C7: 提供 TPM 上 电 / 断 电 、 使 能 / 非 能 和 激活 / 非 激活 的 机 制 和 保护 状 
态 。 开 关 组 件 维护 永久 和 易 失 标志 的 状态 ,并 执行 与 这 些 标 志 相 关联 的 语义 。 这 些 
标志 的 设置 需要 TPM 所 有 者 的 授权 或 平台 上 物理 在 线 的 声明 。 远 程 实体 在 没有 
TPM 所 有 者 知识 或 操作 员 对 该 平台 没有 物理 在 线 的 情况 下 ,不 能 改变 TPM 的 状态 。 

执行 引擎 C8: 运行 程序 代码 以 执行 从 I/O 端口 接收 到 的 TPM 命令 。 执 行 引 擎 
是 一 个 保证 操作 被 适当 隔离 和 保护 区 被 保护 的 关键 组 件 。 

非 易 失 性 存储 器 C9: 被 用 来 保存 永久 身份 和 与 TPM 相关 联 的 状态 。 非 易 失 
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性 存储 器 可 以 拥有 设置 项 (如 EK), 也 可 以 由 被 TPM 所 有 者 授权 的 实体 分 配 和 
使 用 。 

易 失 性 存储 器 Clo: 即 动态 RAM 存储 器 。 

EER TPM 设备 的 计算 机 平台 上 ,用 户 或 程序 只 能 通过 TPM 提供 的 命令 或 上 
层 封装 的 API 来 使 用 和 操作 TPM. 


7.1.5 可 信 平 台 典 型 应 用 场景 


以 可 信 平 台 为 基础 ,计算 机 和 网 络 环境 中 的 计算 机 可 以 互相 验证 对 方 的 软 硬 件 
状态 ,从 而 为 解决 信息 安全 目前 的 困境 带 来 新 的 希望 。 可 信 平 台 典 型 的 应 用 包括 如 
下 几 方 面 。 


1. 风险 管理 

风险 管理 的 目标 是 最 大 程度 减少 由 于 恶意 破坏 或 意外 造成 的 公司 和 个 人 资产 的 
丢失 和 泄密 。TCG 的 保护 存储 技术 能 够 减少 信息 资产 损失 的 风险 。 保 护 存 储 可 以 
保护 非 对 称 加 密 的 公私 钥 和 对 称 加 密 的 密 钥 ,这 种 保护 以 硬件 为 基础 .以 密封 存储 和 
计算 为 保障 ,避免 由 于 密 钥 泄漏 而 造成 信息 资产 的 非法 访问 和 泄漏 。 

2. 资产 管理 


资产 管理 的 目标 是 防止 未 经 授权 对 计算 资产 进行 访问 和 使 用 ,以 及 防止 资产 丢 
失 被 窃 。 其 中 资产 追踪 是 资产 管理 的 一 项 重要 手段 。TPM 可 用 于 对 平台 拥有 者 身 
份 和 平台 硬件 的 唯一 标示 ,并 确保 这 种 标示 不 会 物理 地 被 清除 或 替换 。 如 果 资 产 失 
$i , 偷 窍 者 也 不 能 访问 资产 中 的 信息 ,因此 信息 不 会 被 泄漏 ,而 偷 窍 者 也 不 能 从 信息 
资产 中 获 利 。 


3. 电子 商务 


电子 商务 需要 客户 和 销售 商 互 相信 任 ,并 尽 可 能 避免 非法 第 三 方 对 交易 的 干扰 。 
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可 信 平 台 的 完整 性 报告 和 身份 证 明 能 力 为 电子 商务 提供 了 坚实 的 信任 基础 。 
4. 安全 监控 和 应 急 响应 


IT 管理 人 员 通 常 要 花 大 量 的 时 间 对 付 病 毒 和 黑客 攻击 ,应 急 响 应 队伍 要 能 够 对 
存在 安全 漏洞 的 系统 进行 快速 隔离 和 漏洞 修复 和 补丁 。 在 这 个 过 程 中 ,管理 人 员 需 
要 花费 较 长 时 间 扫描 企业 或 公司 网 络 中 各 个 计算 机 的 系统 配置 ,以 决定 哪些 系统 需 
要 更 新 或 修补 。 

TPM 可 用 于 确保 每 台 计 算 机 都 能 够 真实 地 报告 自身 的 配置 信息 和 参数 。 在 平 
人 台 引 导 启 动 过 程 中 ,TPM 度量 各 软 硬 件 部 件 ,并 将 度量 结果 存储 在 TPM 的 PCRs 
中 。 应 急 响应 人 员 可 以 利用 这 些 度 量 值 来 确定 哪些 计算 机 存在 问题 ,易于 受到 病毒 
或 黑客 的 攻击 。 安 全 管理 人 员 也 可 以 基于 这 些 度量 值 决定 拒绝 那些 处 于 不 安全 状态 
的 计算 机 连接 到 网 络 中 。 


7.2 可 信 平 台中 的 证 书 分 析 


可 信 计 算 技 术 的 基础 是 密码 技术 ,尤其 是 公开 密码 技术 ,因此 在 可 信 平 台中 使 用 
了 多 种 数字 证 书 。 本 节 对 可 信 平 台中 使 用 的 证 书 作 简 单 的 介绍 和 总 结 。 

TCG 规范 定义 了 5 PAS YE BO). 背书 证 书 (Endorsement Key Certificate), 
平台 证 书 (Platform Certificate) .身份 证 书 (Attestation Identity Key Certificate, AIK 
证 书 ) ,符合 性 证 书 (Conformance Certificate) 和 验证 性 证 书 (Validation Certificate) 。 


7.2.1 TPM 背书 证 书 
TCG 规定 EK 的 私 钥 部 分 是 不 向 外 界 泄漏 和 不 可 以 被 TPM 外 部 访问 的 ,并 且 


从 不 用 来 加 /解密 用 户 数据 。 为 了 达到 标准 要 求 ,需要 对 产生 、 植 入 EK 过 程 以 及 EK 
的 载体 TPM 的 来 源 严格 把 关 。 
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EK 证 书 通常 由 TPM 的 生产 厂商 签发 。 基 于 隐私 考虑 ,目前 EK 证 书 仅 在 向 
Privacy-CA 申请 AIK 证 书 时 提供 身份 证 明 , 之 后 就 由 AIK 来 替代 EK 提供 TPM E 
份 证 明 。EK 证 书 中 包含 了 EK 公 钥 ,EK 公 钥 虽然 是 公开 的 ,但 由 于 是 鉴别 TPM 身 
份 的 唯一 证 据 , 所 以 也 是 秘密 和 敏感 的 。 

为 了 保护 平台 平台 拥有 者 ,平台 用 户 的 隐私 ,EK 证 书 在 平台 上 存放 时 应 该 受到 
保护 ,只 有 平台 拥有 者 或 经 过 其 授权 的 实体 才能 访问 EK 证 书 。 

表 7.1 列 出 了 EK 证 书 必须 包含 的 域 。 


表 7.1 EK 证 书 必须 包含 的 域 


域 名 内 容 描 述 
版 本 号 证 书 遵循 标准 的 版 本 号 ,通常 为 3( 即 X. 509 version 3) 
序列 号 签发 者 分 配给 证 书 的 唯一 的 标识 编号 
签名 算法 签发 者 对 证 书签 名 采用 的 签名 算法 
签发 者 EK 证 书 的 签发 者 名 称 
有 效 期 证 书 的 有 效 期 
主题 通常 为 空 ,签发 者 需要 使 用 扩展 的 主题 替代 名 来 描述 
公 钥 信息 描述 EK 公 钥 使 用 的 算法 和 公 钥 值 
扩展 信息 关于 证 书 的 附加 属性 
证 书 策略 描述 证 书签 发 的 多 个 策略 项 
主题 替代 名 描述 使 用 目录 名 字形 式 的 TPM 制造 商 ,.TPM 模型 和 版 
本 号 的 相对 甄别 名 CRDN) 
基本 限制 描述 签发 者 是 否 为 CA 
主题 目录 属性 包含 诸如 TPM 支持 的 算法 、 符 合 的 规范 版 本 号 等 信息 


7.2.2 平台 证 书 


平台 证 书 主要 用 于 确认 某 个 具体 的 特定 平台 的 制造 者 和 描述 平台 的 属性 ,用 来 
声明 、 证 实 一 个 集成 有 TPM 的 计算 平台 符合 TCG 规范 。 通 常平 台 证 书 由 平台 集成 
制造 商 签发 。 由 于 该 证 书 里 包含 了 EK 证 书 的 索引 ,出 于 隐私 的 考虑 ,平台 证 书 的 使 
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用 也 受到 严格 的 限制 ,只 限 在 向 Privacy-CA 申请 ATK 证 书 时 使 用 。 其 中 EK 证 书 索 
引起 到 关联 平台 与 TPM 的 作用 。 

为 了 保护 平台 ,平台 拥有 者 ,平台 用 户 的 隐私 ,平台 证 书 在 平台 上 存放 时 应 该 受 
到 保护 ,只 有 平台 拥有 者 或 经 过 其 授权 的 实体 才能 访问 平台 证 书 。 

表 7.2 列 出 了 平台 证 书 必须 包含 的 域 。 


表 7.2 平台 证 书 必须 包含 的 域 


域 名 内 容 描述 
版 本 号 证 书 遵循 标准 的 版 本 号 ,通常 为 2( 即 X. 509 version 2) 
序列 号 签发 者 分 配给 证 书 的 唯一 的 标识 编号 
签名 算法 签发 者 对 证 书签 名 采用 的 签名 算法 
持 有 者 指向 平台 的 TPM EK 证 书 的 引用 
签发 者 平台 证 书 的 签发 者 名 称 
有 效 期 证 书 的 有 效 期 
属性 描述 平台 符合 的 TCG 规范 ,平台 的 CC 认证 保护 轮廓 标识 符 .CC 认证 安全 目 
标 标识 符 等 信息 
扩展 属性 关于 证 书 的 附加 属性 
证 书 策略 描述 证 书签 发 的 多 个 策略 项 
主题 替代 名 描述 使 用 目录 名 字形 式 的 平台 制造 商 , 平 台 模型 和 版 本 号 的 相对 甄别 名 (RDN) 


7.2.83 TPM AIK 证书 


AIK 证 书 被 用 来 鉴定 对 PCR 值 进行 签名 的 ATK 私 钥 的 真实 性 , 它 包 括 AIK 的 
公 钥 和 其 他 发 布 者 认为 有 用 的 信息 。 

AIK 证 书 是 由 一 个 可 信 的 、 能 够 校 验 各 种 证 书 和 保护 客户 端 隐私 的 Privacy-CA 
来 签发 的 。 在 完整 性 报告 和 平台 验证 的 过 程 中 ,通常 使 用 AIK 私 钥 代替 EK 私 钥 进 
行 签名 , 既 证 明了 签名 TPM 的 合法 性 ,又 避免 了 暴露 用 户 和 平台 的 隐私 信息 。AIK 
证 书 中 包含 的 AIK 公 钥 则 可 以 用 来 验证 TPM 签名 的 真实 性 。 

表 7.3 列 出 了 AIK 证 书 必须 包含 的 域 。 
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表 7.3 AIK 证 书 必须 包含 的 域 


域 名 内 容 描述 
版 本 号 证 书 遵循 标准 的 版 本 号 ,通常 为 3( 即 X. 509 version 3) 
序列 号 签发 者 分 配给 证 书 的 唯一 的 标识 编号 
签名 算法 签发 者 对 证 书签 名 采用 的 签名 算法 
签发 者 AIK 证 书 的 签发 者 名 称 
有 效 期 证 书 的 有 效 期 
主题 证 书 名 称 ,通常 为 空 
公 钥 信息 描述 ATK 公 钥 使 用 的 算法 和 公 钥 值 
扩展 信息 关于 证 书 的 附加 属性 
证 书 策略 描述 证 书签 发 的 多 个 策略 项 
主题 替代 名 包含 来 自 TPM 的 EK 证 书 主题 替代 名 中 的 TPM 制造 商 、 模 型 .版 本 号 内 容 ; 
包含 平台 制造 商 、 模 型 .版 本 号 内 容 ; TPM 身份 标签 
基本 限制 描述 签发 者 是 否 为 CA 


主题 目录 属性 包含 TPM 符合 的 规范 .平台 符合 的 规范 TPM 支持 的 算法 `TPM 的 CC 保护 
轮廓 标识 .TPM 的 CC 安全 目标 标识 等 信息 


符合 性 证 书 是 用 来 声明 证实 某 一 类 计算 平台 的 实现 符合 TCG 的 哪些 规范 、 符 
合 哪些 安全 要 求 。 它 不 能 用 来 唯一 标识 一 个 平台 ,而 是 针对 某 一 类 的 平台 。 该 证 书 
可 由 平台 或 TPM 制造 商 签发 ,也 可 由 任何 具备 规范 符合 性 测试 能 力 的 第 三 方 测试 机 
构 签 发 。 

验证 证 书 用 来 表明 平台 上 某 一 个 组 件 的 指令 或 功能 具有 证 书 中 所 包含 的 属性 ， 
证 书 中 通常 需要 包含 用 于 验证 的 测试 数据 。 这 些 组 件 可 以 是 平台 上 的 任何 软 硬 件 部 
件 , 如 视频 卡 、 存 储 卡 、 内 存 控制 器 .网络 控制 器 .CPU 键盘、 鼠标 以 及 各 种 系统 和 应 
用 软件 。 验 证 证 书 可 以 由 组 件 制造 商 或 第 三 方 验证 机 构 签发 。 

在 可 信 平 台中 ,所 有 证 书 均 采用 ISO/TEC/ITU-T X. 509 格式 。 

讨论 : Privacy-CA 可 以 是 一 个 公共 的 CA ,也 可 以 是 一 个 企业 内 部 专 有 的 CA ,这 
需要 根据 可 信 平 台 使 用 的 范围 来 确定 。 如 果 只 在 企业 内 部 使 用 , 则 可 以 是 一 个 专 有 
的 CA, 如 果 在 广泛 的 不 定 范 围 内 运行 , 则 需要 一 个 公共 CA。 但 是 , 当 在 一 个 广泛 的 
不 定 范围 内 使 用 时 ,如 何 规定 可 信任 的 CA, 如 何 相信 CA 提供 的 证 书 都 是 真实 可 信 
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的 ,这 个 问题 的 解决 具有 很 大 的 困难 和 不 确定 性 。 

另外 ,在 平台 信任 链 的 构造 过 程 中 ,代码 度量 是 否 采用 类 似 的 身份 证 书 ,TCG 没 
有 涉及 这 个 问题 ,也 没有 规定 信任 链 构造 的 度量 方法 ,这些 问题 需要 产品 开发 者 自己 
决定 ,显然 这 不 利于 可 信 平 台 的 统一 推广 使 用 。 


7.3 TPM 密 钥 分 析 


作为 计算 和 通信 终端 的 硬件 可 信和 基础 ,TPM 保存 和 管理 着 多 种 密 钥 , 以 实施 平 
台 的 身份 认证 .签名 和 数据 加 密 功能 。 


7.3.1 TPM 密 钥 类 型 


TCG 定义 了 7 种 密 钥 类 型 。 
1. 签名 密 钥 (Singing Key) 


签名 密 钥 是 非 对 称 密 钥 ,主要 用 于 对 应 用 数据 和 消息 进行 签名 。 签 名 密 钥 既 可 
以 是 可 移植 的 ,也 可 以 是 不 可 移植 的 。 可 移植 的 密 钥 允许 在 不 同 的 TPM 设备 之 间 导 
入 /导出 。 


2. 存储 密 钥 (Storage Key) 
存储 密 钥 是 非 对 称 密 钥 ,主要 用 于 加 密 存储 数据 或 其 他 密 钥 。 
3. 身份 证 明 密 钥 (ldentity Key) 


TPM 的 身份 证 明 密 钥 通常 是 指 AIK (Attestation Identity Key) 密 钥 , 是 一 种 不 
可 移植 的 签名 密 钥 。 当 需要 提供 TPM 的 可 信 证 明 时 ,就 使 用 AIK 私 钥 对 来 对 数据 


第 7 章 ， 可 信 度 量 基础 与 度量 方法 145 


值 进行 签名 ,如 在 完整 性 报告 的 过 程 中 使 用 AIK 私 钥 对 TPM 提供 的 PCRs 的 值 进 
行 签名 。 
4. 背书 密 钥 (Endorsement Key) 


也 称 EK 密 钥 ,是 不 可 移植 的 非 对称 密 钥 。 对 一 个 TPM 以 及 一 个 平台 而 言 ,EK 
是 唯一 的 。 有 两 种 方式 产生 EK ,一 种 方式 是 在 生产 过 程 中 在 TPM 内 部 产生 EK; 另 
一 种 方式 是 将 外 部 产生 的 EK 在 TPM 生产 过 程 中 导入 。 

EK 5 TPM 是 一 一 对 应 的 ,如 果 EK 用 来 签名 ,那么 任何 实体 都 可 以 跟踪 EK 的 
使 用 。 出 于 安全 和 隐私 保护 方面 的 考虑 ,并 不 直接 使 用 EK 来 进行 数据 的 加 密 和 签 
名 。EK 的 主要 功能 是 生成 身份 证 明 密 钥 AIK 和 建立 TPM Owner。 


5. 包扎 密 钥 (Binding Key) 

对 称 密 钥 ,通常 用 于 对 平台 之 间 的 交换 数据 进行 加 密 传输 。 

6. 遗赠 密 钥 (Legacy Key) 

在 TPM 外 部 创建 的 可 移植 密 钥 , 导 入 到 TPM 中 后 可 用 于 签名 和 加 解密 操作 。 
7. 认证 密 钥 (Authentication Key) 


对 称 密 钥 ,用 于 对 TPM 参与 的 传输 任务 的 数据 加 密 保护 。 
7.3.2 TPM 密 钥 管理 


TPM 芯片 内 部 只 有 少量 有 限 可 用 的 易 失 性 和 非 易 失 性 存储 空间 ,然而 ,可 信 平 
台 的 应 用 可 能 需要 保存 大 量 的 密 钥 和 受 保 护 数据 。 因 此 ,TCG 定义 了 TPM 外 部 组 
存 空 间 和 缓存 管理 器 。 

密 钥 块 (Key Blob) 用 于 在 TPM 以 外 的 存储 空间 存储 TPM 相关 的 密 钥 。 密 钥 
块 是 经 过 TPM 加 密 的 ,并 且 对 TPM 来 讲 是 非 透 明 的 ( 即 TPM 知道 该 密 钥 块 的 存在 
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并 保留 关联 信息 )。 密 钥 块 可 以 存储 到 TPM 以 外 的 任何 存储 设备 上 ,如 flash 盘 、 硬 
盘 、 网 络 文件 服务 器 等 。 通 过 密 钥 块 内 容 的 摘要 值 , 密 钥 块 句柄 或 者 是 密 钥 块 的 全 局 
唯一 性 标识 符 可 以 实现 对 密 钥 块 的 引用 操作 。 

TPM 提供 命令 接口 以 支持 外 部 程序 管理 TPM 内 部 的 有 限 存储 空间 ,这 种 外 部 
程序 称 作 密 钥 缓存 管理 器 (Key Cache Manager, KCM). KCM 负责 TPM 内 部 和 外 
部 存储 设备 上 的 密 钥 交 换 和 移动 操作 ,为 此 KCM 需要 跟踪 TPM 内 部 密 钥 存储 空间 
的 活动 情况 以 及 TPM 密 钥 使 用 情况 ,以 及 完成 对 外 部 存储 设备 上 的 密 钥 块 进行 索 
引 、 读 写 操作 。 通 过 KCM, 非 激活 的 密 钥 在 加 密 保护 后 允许 被 移出 TPM 芯片 以 便 腾 
出 TPM 存储 空间 交换 进 其 他 需要 激活 的 密 钥 。 存 储 在 外 部 设备 中 的 密 钥 由 于 被 
TPM 加 密 保护 ,因此 在 TPM 外 部 无 法 用 来 进行 签名 和 加 解密 操作 ,只 有 移入 TPM 
内 部 成 为 激活 密 钥 才 可 以 用 于 签名 和 加 解密 。 

只 有 两 个 密 钥 是 固定 嵌入 在 TPM 中 并 且 不 可 以 被 移出 TPM 芯片 的 : 背书 密 钥 
(Endorsement Key,EK) 和 存储 根 密 钥 (Storage Root Key, SRK), SRK 在 建立 TPM 
的 拥有 者 时 产生 ,该 密 钥 的 私 钥 保存 在 TPM 的 保护 区 域 中 ,需要 提供 授权 数据 才 可 
以 使 用 。SRK 的 私 钥 不 能 被 导出 ,后 续 生 成 的 密 钥 都 直接 或 间接 的 由 该 密 钥 加 密 ， 
它 是 TPM 密 钥 存储 体系 的 根 。 当 清除 TPM 的 拥有 者 时 ,SRK 也 同时 被 清除 ,所 有 
被 SRK 直接 或 间接 加 密 的 数据 都 将 无 法 使 用 ,包括 密 钥 和 数据 。 

图 7.3 显示 了 可 信和 平台 基于 TPM 的 密 钥 管理 和 存储 结构 。 


7.3.3 AIK 及 其 证 书生 成 安全 分 析 


EK 是 TPM 中 最 核心 的 密 钥 ,出 于 安全 和 隐私 保护 的 考虑 ,不 直接 使 用 EK 来 进 
行 数据 的 加 密 和 签名 。EK 的 主要 功能 是 生成 身份 证 明 密 钥 和 建立 TPM Owner. HH 
TPM Owner 来 生成 存储 根 密 钥 SRK ,使 用 SRK 来 加 密 存储 其 他 密 钥 。 

AIK 可 以 看 做 是 EK 的 别名 。 建 立 TPM Owner 后 就 可 以 创建 AIK,TPM 中 
AIK 的 数量 理论 上 是 不 受 限制 的 ,因此 可 以 减少 因为 AIK 统计 信息 而 导致 的 隐私 
its. 
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图 7.3 TPM 密 钥 管理 和 存储 结构 


AIK 的 生成 虽然 使 用 了 EK ,但 是 生成 的 ATK 中 却 不 包含 任何 有 关 平 台 或 EK 
的 隐私 信息 。 这 就 使 得 ATK 可 以 证 明 TPM 的 身份 但 不 会 泄漏 任何 隐私 信息 。AIK 
只 用 来 代替 EK 进行 签名 ,不 能 用 于 数据 加 密 ,并 且 AIK 只 能 用 于 对 TPM 内 部 产生 
的 数据 进行 签名 ,如 PCR f. TPM 的 其 他 密 钥 、TPM 状态 信息 等 。AIK 不 能 用 于 对 
TPM 外 部 产生 的 数据 进行 签名 ,以 免 攻 击 者 借 此 伪造 PCR 的 值 。 

AIK 既 可 以 代替 EK 进行 平台 证 明 , 又 不 会 泄漏 TPM 身份 的 隐私 信息 ,因此 ， 
AIK 和 AIK 证 书 的 产生 过 程 和 安全 性 就 十 分 重要 。 下 面 分 析 AIK 和 ATK 证 书 产生 
的 过 程 及 其 安全 性 。 

AIK 和 AIK 证 书 产生 过 程 可 以 分 为 3 个 阶段 。 

第 一 阶段 ATK 生成 和 证 书 请 求 : 
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(D TPM Owner 使 用 TPM_Makeldentity 命令 生成 一 对 AIK 公私 钥 对 ,长 度 至 
少 是 2048 位 ,将 AIK 的 私 钥 使 用 SRK 加 密 保存 。 

© TPM 构造 TPM_IDENTITY_CONTENTS 结构 ,结构 中 包含 刚 生成 的 AIK 
ARAR TPM 自身 的 标识 信息 ,如 EK 证 书 和 平台 证 书 。 

@ TPM 使 用 刚 生成 的 AIK 私 钥 对 TPM_IDENTITY_CONTENTS 结构 进行 
签名 ,将 签名 值 和 结构 内 容 一 起 发 送 给 Privacy-CA ,等 待 Privacy-CA 接受 请 求 后 生 
成 AIK 证 书 。 

第 二 阶段 Privacy-CA 签发 证 书 : 

(D Privacy-CA 接受 请 求 , 检 验 签 名 信息 是 否 正确 , 若 正 确 则 根据 TPM _ 
IDENTITY CONTENTS 中 的 AIK 公 钥 生成 AIK 证 书 。 

© Privacy-CA 产生 一 个 session key( 对 称 密 钥 ) ,使 用 这 个 session key 对 刚 生 成 
的 AIK 证 书 进行 加 密 。 

© Privacy-CA 使 用 发 送 申请 请 求 的 TPM 的 PUBEK (EK 公 钥 ) 对 session key 
加 密 , 构 造 一 个 TPM SYM CA ATTESTATION 结构 ,结构 中 包含 加 密 了 的 
session key、 加 密 了 的 AIK 证 书 以 及 一 些 加 密 算法 参数 等 。 

(D Privacy-CA 发 送 TPM SYM CA ATTESTATION 结构 到 TPM. 

第 三 阶段 TPM 激活 证 书 : 

® TPM 接收 到 PM_SYM_CA_ATTESTATION 结构 ,使 用 TPM_Activeldentity fir 
令 对 结构 进行 解密 。 该 命令 首先 使 用 TPM 的 PRIVEK (EK 私 钥 ) 解 密 加 密 证 书 的 
session key, 然 后 再 使 用 session key 解密 AIK WEP. 

至 此 ,AIK 和 AIK 证 书 的 产生 过 程 结 束 ,这 个 AIK 即 可 以 使 用 。 

对 该 过 程 的 安全 性 分 析 : 

CD 使 用 AIK 私 钥 部 分 对 TPM_IDENTITY_CONTENTS 结构 进行 签名 是 为 
了 防止 结构 的 内 容 在 传送 过 程 中 被 自 改 。 

(2) Privacy-CA 在 产生 AIK 证 书后 ,使 用 TPM 的 PUBEK 对 AIK 证 书 进行 加 
密 后 再 传送 给 TPM, 这 样 只 有 拥有 与 该 PUBEK 对 应 的 PRIVEK ,才能 解 开 这 个 加 
密 了 的 证 书 ,从 而 使 用 该 AIK。 这 样 既 证 明了 发 送 请 求 的 TPM 的 真实 性 ,防止 了 第 
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三 者 冒充 TPM 发 送 请 求 ,也 使 得 其 他 窃听 者 即使 得 到 了 这 个 加 密 的 证 书 也 无 法 完成 
解密 ,无 法 使 用 该 AIK。 

(3) Privacy-CA 在 这 个 过 程 中 的 安全 性 至 关 重 要 ,Privacy-CA 必须 保证 不 会 泄 
露 任何 敏感 信息 ,也 不 会 在 ATK 证 书 产生 过 程 中 欺骗 TPM. 

(A) Privacy-CA 不 立即 检查 收 到 的 请 求 的 合法 性 ,可 能 会 由 于 大 量 冒充 的 无 效 
请 求 造成 对 Privacy-CA 的 拒绝 服务 攻击 。 

(5) 攻击 者 可 能 通过 同时 替换 TPM_IDENTITY_CONTENTS 结构 中 的 ATK 
公 钥 和 TPM IDENTITY CONTENTS 结构 的 签名 实现 该 结构 内 容 的 算 改 并 成 功 
欺骗 Privacy-CA ,使 得 Privacy-CA 签发 无 效 的 AIK 证 书 。 为 了 避免 这 种 情况 的 发 
生 , 本 书 认为 ,应 该 在 过 程 @@ 中 使 用 PRIVEK 对 TPM IDENTITY CONTENTS 结 
构 进 行 签名 。 


7.4 TCG 完整 性 度量 与 报告 要 求 


TCG 可 信 平 台 的 信任 链 和 可 信 计 算 环 境 的 信任 边界 是 通过 完整 性 度量 和 报告 
机 制 建立 并 逐步 扩展 的 ,TCG 在 其 规范 中 给 出 了 指导 人 性 建议 2 。 


7.4.1 完整 性 度量 要 求 


完整 性 度量 内 核 负 责 完 整 性 度量 过 程 。 一 次 完整 性 度量 过 程 称 为 一 次 完整 性 度 
量 事件 。 一 次 完整 性 事件 包含 两 类 关键 数据 : 度量 数据 和 度量 值 。 度 量 数据 是 需要 
被 度量 完整 性 的 数据 信息 或 程序 代码 ; 度量 值 是 由 度量 内 核 根据 度量 数据 计算 产生 
的 消息 摘要 值 。 这 两 类 数据 独立 存放 : 度量 数据 存储 在 度量 内 核能 够 访问 到 的 任何 
存储 区 域 ,而 度量 值 则 需要 在 TPM 内 部 由 TPM 保护 存储 。 

一 次 度量 事件 要 产生 度量 日 志 (Stored Measurement Log. SML)。 度 量 日 志 
和 度量 值 要 求 能 够 反映 度量 事件 的 发 生 顺 序 。 所 有 的 度量 值 通过 Hash Æ J AY 
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方法 计算 得 到 一 个 公用 的 摘要 值 并 存储 到 TPM 中 的 PCR 寄存 器 中 (Platform 
Configuration Register) 。PCR 中 的 值 在 系统 重新 复位 后 会 被 清空 。PCR 值 Hash 
AIM WIEN : 


PCR[n] =SHA—1(PCR[n] || 度量 值 ) 


其 中 || 表 示 连 接 操作 。 即 把 一 次 完整 性 事件 计算 产生 的 度量 Hash 值 , 同 第 n 个 
PCR 寄存 器 中 的 当前 值 进行 连接 操作 ,然后 对 连接 操作 的 结果 计算 SHA-1 消息 摘 
要 ,得 到 第 n 个 PCR 寄存 器 的 新 值 。TPM 中 定义 有 多 个 PCR 寄存 器 ,分 别 记载 不 
同类 型 的 完整 性 度量 事件 的 度量 值 。 

SML 的 数据 量 会 很 大 ,因此 不 会 被 存储 到 TPM 中。 如 果 SML 的 内 容 被 臭 改 ， 
可 以 通过 PCR 中 的 值 检测 出 这 种 自 改 。 因 此 ,PCR 的 度量 值 能 够 用 于 对 SML 的 完 
整 性 进行 验证 。 


7.4.2 完整 性 报告 要 求 


可 信 报 告 根 RTR 有 两 种 基本 功能 : 一 是 向 外 部 实体 报告 可 信 平 台 完 整 性 度量 
的 结果 ,二 是 基于 可 信 平 台 的 身份 验证 报告 结果 的 真实 性 。 

请 求 报告 的 平台 称 为 挑战 方 ,需要 向 挑战 方 报告 自身 完整 性 的 平台 为 报告 方 。 
完整 性 报告 的 过 程 为 

CD. 挑战 方向 报告 方 发 出 报告 请 求 ,请 求 报告 方 的 PCRs 配置 结果 ; 

@ 报告 方 的 报告 代理 程序 (Agent) 从 报告 方 平台 收集 SML; 

© 报告 代理 向 报告 方 平台 的 TPM 请 求 PCRs 的 值 ; 

@ TPM 使 用 AIK 私 钥 对 PCRs 的 值 进行 签名 ,发 送 给 报告 代理 ; 

© 报告 代理 获取 报告 方 平台 证 书 , 将 平台 证 书 、 签 名 的 PCRs f SML 返回 给 挑 

战 方 ; 

挑战 方 通过 PCRs 值 的 签名 验证 报告 方 的 真实 性 ,根据 SML 记录 重新 计算 度 
Ht Hash 值 ,通过 将 计算 结果 与 PCRs 的 结果 比较 ,判断 报告 方 的 完整 性 。 
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根据 完整 性 报告 的 结果 ,挑战 方 决定 是 否 信任 报告 方 。 

TOG 给 出 了 完整 性 度量 与 报告 的 指导 性 原则 ,但 是 并 没有 规定 可 信 报 告 的 方 
法 。 由 于 平台 涉及 硬件 部 件 和 多 层 软 件 系 统 , 统 一 可 信和 度量 方法 对 于 可 信 平 台 的 构 
造 和 使 用 推广 是 很 必要 的 。 


7.5 可 信和 固件 的 可 信和 度量 方法 


可 信和 固件 的 保护 环 模型 ,通过 代码 的 完整 性 和 真实 性 来 保证 数据 的 完整 性 和 正 
确 性 。 因 此 ,可 信和 固件 的 保护 环 模型 的 可 信和 度量 ,主要 是 针对 代码 的 度量 。 

代码 度量 的 一 种 方法 ,是 对 代码 本 身 不 做 任何 的 封装 要 求 , 即 代码 同 传统 BIOS 
环境 下 的 代码 是 相 一 致 的 ,代码 本 身 不 包含 任何 可 信和 度量 的 相关 信息 。 在 用 户 初 次 
使 用 平台 时 ,BIOS 不 能 够 进行 可 信 度 量 ,而 需要 用 户 确 认 对 BOIS 和 相关 硬件 进行 可 
信 初 始 化 ,之 后 才能 在 BIOS 的 启动 和 运行 过 程 中 进行 可 信 度 量 。 这 种 可 信 初 始 化 ， 
就 是 在 初次 使 用 时 ,产生 BIOS 环境 下 各 代码 消息 摘要 ,BIOS 对 这 些 消息 摘要 进行 存 
储 保护 ,以 便 在 以 后 的 过 程 中 通过 消息 摘要 的 比较 判断 各 代码 的 完整 性 ,从 而 实施 可 
fri BERE, 

这 种 方法 存在 两 个 明显 的 缺点 : 一 是 可 信 初 始 化 后 ,BIOS 可 加 载 的 代码 就 固定 
下 来 ,如 果 有 新 代码 需要 增加 进来 ,就 必须 重新 作 整 个 初始 化 过 程 ,因此 ,这 种 方法 不 
利于 动态 地 对 代码 进行 管理 ,这 个 问题 在 EFI BIOS 中 尤其 明显 ,因为 在 EFI BIOS 
中 ,允许 用 户 临 时 加 载 驱 动 或 应 用 程序 ; 二 是 对 于 可 信 BIOS 来 讲 , 代 码 的 执行 需要 
同时 满足 两 个 条 件 一 一 完整 性 和 类 属 , 代 码 的 类 属 决定 代码 可 以 访问 的 数据 集合 。 
这 种 可 信和 初始 化 方法 不 能 满足 可 信和 度量 对 于 代码 类 属 的 度量 要 求 。 
针对 本 书 第 6 章 提 出 的 可 信和 固件 的 保护 环 模型 的 强制 性 实施 规则 ,本 节 提 出 由 
可 信 注 册 、 可 信封 装 、 可 信 验 证 三 个 环节 相 结 合 的 固件 可 信和 度量 方法 。 该 方法 符合 本 
章 前 面 所 述 的 TCG 可 信 平 台 的 信任 基础 和 原则 ,同时 又 很 好 地 解决 了 上 述 可 信 初 始 
化 过 程 的 缺陷 。 


152 计算 机 固件 安全 技术 


为 了 后 续 描述 的 方便 ,定义 可 信和 固件 的 代码 单元 概念 。 
定义 ”代码 单元 一 个 代码 单元 (Code CelD) 是 指 在 固件 环境 下 最 小 的 可 独立 加 
载 的 代码 模块 。 


7.5.1 可 信 注 册 


可 信 注 册 的 过 程 , 是 确定 代码 单元 身份 可 信和 代码 类 属 的 过 程 。 一 个 将 要 进入 
到 固件 运行 环境 (保护 环 模型 的 内 三 层 ) 中 的 代码 单元 的 持 有 者 ,需要 向 安全 管理 员 
SA 提交 其 身份 证 明 ( 证 书 或 公 钥 )。 安 全 管理 员 负 责 完 成 下 面 的 操作 : 


1. 审核 身份 证 明 的 有 效 性 ,确定 代码 类 属 (CT 或 OT) 


在 固件 生产 过 程 中 ,身份 证 明 应 该 是 固件 生产 商 或 平台 制造 商 签发 的 非 对 称 密 
钥 的 公 钥 ,或 者 是 包含 公 钥 的 数字 证 书 。 在 固件 使 用 过 程 中 ,身份 证 明 是 由 SA 或 
Privacy-CA 签发 的 非 对 称 密 钥 的 公 钥 ,或 者 是 包含 公 钥 的 数字 证 书 。 注 册 的 公 钥 用 
于 对 代码 单元 进行 可 信封 装 。 

UTC 是 不 能 在 固件 运行 环境 中 运行 的 ,提交 注册 的 代码 单元 要 由 SA 和 注册 申 
请 者 (用 户 或 固件 开发 程序 员 ) 共 同 审 核 需 注册 的 代码 单元 的 类 属 (CT BK OT). 
核 的 准则 遵照 保护 环 模型 的 强制 性 实施 规则 2(MER2) 。 


2. 保存 身份 证 明 


在 固件 生产 过 程 中 ,包括 固件 厂商 和 平台 集成 厂商 ,需要 把 可 信 注 册 的 公 钥 或 数 
字 证 书 通过 存储 设备 移交 给 平台 的 最 终 用 户 。 在 固件 使 用 过 程 中 ,安全 管理 员 SA 
首先 要 将 被 注册 的 公 钥 导入 到 CRTM 能 够 访问 的 保护 存储 区 域 ,以 用 于 可 信和 验证 过 
程 。 关 于 注册 公 钥 保护 的 安全 必要 性 ,在 本 节 后 面 将 加 以 阐述 。 

3. 维护 CRTM 的 CTS 列表 


对 于 需要 注册 为 CTC 的 代码 单元 ,SA 必须 在 CRTM 的 CTS 列表 集合 中 增加 


C 
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该 代码 单元 的 标志 项 。 注 册 为 OTC 的 代码 单元 则 无 需 更 改 CRTM 的 CTS 列表 集 
合 。CTS 列表 集合 中 对 代码 单元 的 关联 引用 ,可 以 采用 代码 单元 的 消息 摘要 值 或 者 
全 局 唯一 性 标识 符 (GUID)。 

只 有 经 过 可 信 注 册 的 代码 单元 ,才能 够 在 固件 运行 环境 中 被 加 载运 行 。 


7.5.2 可 信封 装 


可 信封 装 的 过 程 ,是 代码 单元 持 有 者 为 其 代码 单元 提供 真实 性 和 完整 性 证 明 信 
息 的 过 程 。 
设 有 信息 元 素 如 下 : 


ccell : 代码 单元 
signature : 数字 签名 
digest, digest' : 消息 摘要 
pubkey : 注册 公 钥 
privkey : 注册 私 钥 


设 有 信息 函数 如 下 : 


Hash() : 计算 信息 的 消息 摘要 

Encrypt() : 使 用 私 钥 签名 

Decrypt() : 使 用 公 钥 解 签 

Concatenate() : 两 个 或 多 个 信息 的 连接 操作 

GetCCell() : 从 CTC/OTC 信息 中 分 离 出 代码 数据 

GetSignature() : 从 CTC/OTC 信息 中 分 离 出 数字 签名 
VerifyDigest() : 对 两 个 消息 摘要 进行 比较 操作 ,0 一 不 相等 1 一 相等 


则 可 信封 装 的 过 程 表 示 为 : 
1. 计算 代码 单元 消息 摘要 


digest < Hash(ccell) 
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2. 使 用 注册 私 钥 对 代码 单元 计算 数字 签名 
signature <- Encrypt(digest, privkey) 
3. 构造 可 信 的 代码 单元 


CTC/OTC <= Concatenate(ccell, signature) 


构造 的 可 信 代 码 单元 CTC/OTC HI nf VL Aj VE jk Hz A Fe Pr Ie (SC (Fh ,或 存储 


在 其 他 控制 器 芯片 和 外 围 存 储 设备 中 ,在 固件 运行 过 程 中 由 固件 自动 加 载 或 由 用 户 
手工 加 载运 行 。 


7.5.3 可 信和 验证 


可 信和 验证 的 过 程 是 对 可 信 代 码 单元 的 证 明 信 息 进行 验证 的 过 程 , 即 验证 可 信 代 


码 单元 身份 真实 性 和 内 容 完整 性 。 


可 信和 验证 的 过 程 表示 为 : 
1. 计算 被 度量 可 信 代 码 单元 CTC/OTC 的 消息 摘要 


ccell - GetCCell(CTC/OTC) ; 
digest + Hash(ccell) 


2. 使 用 注册 公 钥 对 被 度量 可 信 代 码 单元 签名 解 签 


signature <— GetSignature(CTC/OTC) ; 
digest'< Decrypt(signature, pubkey) 


3. 验证 结果 


if VerifyDigest(digest, digest') —1 


then CTC/OTC 是 完整 可 信和 的 
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else CTC/OTC 是 伪造 的 或 被 自 改 


如 果 可 信 验 证 的 结果 为 真 , 则 被 验证 的 CTC/OTC 允许 被 加 载 执行 。 其 执行 时 
访问 PDS 或 NDS 的 行为 由 CRTM 根据 CTS 列表 进行 监督 控制 。 

除 CRTM 外 ,任何 需要 在 固件 运行 环境 中 加 载运 行 的 代码 都 必须 经 过 可 信 注 册 
和 可 信封 装 ,因此 安全 管理 员 SA 必须 对 可 信和 度量 过 程 可 能 涉及 的 注册 信任 方 信任 
关系 进行 管理 和 维护 ,包括 : 固件 厂商 ,平台 集成 商 、 部 件 制造 商 .OS Loader 软件 商 、 
平台 用 户 等 。 


7.5.4 注册 公 钥 的 保护 


考虑 下 面 的 一 种 攻击 情形 : 攻击 者 使 用 自己 的 私 钥 对 恶意 代码 单元 进行 签名 ， 
并 使 得 可 信和 固件 在 运行 过 程 中 能 够 使 用 对 应 的 公 钥 进行 解 签 校 验 , 则 会 得 到 成 功 的 
可 信和 验证 结果 ,导致 攻击 者 可 向 可 信 固 件 中 植 和 人 并 成 功 运行 恶 意 代 码 。 为 防止 此 种 
攻击 的 出 现 ,用 于 可 信 验 证 的 解 签 公 钥 不 能 同 被 验证 代码 单元 一 同 存放 ,而 必须 密封 
保存 在 TPM 中 进行 保护 ,而 且 可 信 度 量 的 解 签 操作 也 需要 在 TPM 内 部 完成 。 当 
然 , 这 种 保护 同 非 对 称 加 密 的 公 钥 公开 并 不 相 矛 盾 , 只 是 保护 可 信和 验证 时 使 用 的 公 
来 源 是 可 信 的 ,不 会 被 恶意 者 替换 。 安 全 管理 员 SA 负责 将 可 信 固 件 涉及 的 注册 信 
任 方 的 公 钥 导入 到 TPM 中 。 


7.6 本 章 小 结 


本 章 对 可 信 固 件 的 开发 ,在 按照 可 信 固 件 保 护 环 第 略 模型 和 规则 设计 实现 可 信 
固件 安全 机 制 的 前 提 下 , 另 一 个 重要 的 指导 思想 ,就 是 尽量 符合 TCG 可 信 计 算 的 相 
关 规 范 。 为 此 本 章 对 TCG 可 信 计 算 机 的 结构 、 信 任 链 、 信 任 关 系 及 其 管理 等 关键 内 
容 进行 了 分 析 , 在 此 基础 上 提出 的 由 可 信 注 册 、 可 信封 装 、 可 信 验 证 三 个 步骤 构成 的 
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可 信和 度量 方法 , 既 满 足 了 可 信和 固件 保护 环 模型 的 强制 实施 规则 ,又 能 够 符合 TCG 完 
整 性 度量 和 报告 的 规范 要 求 。 

改进 之 处 在 于 ,这 里 的 可 信和 度量 ,不 仅仅 是 TCG 所 规定 的 完整 性 度量 ,而 是 进 一 
步 包 含 了 代码 安全 级 别 的 度量 。 可 信 固 件 保护 环 模型 通过 代码 的 安全 级 别 ,限制 了 
普通 可 信 代 码 部 分 的 有 害 行为 ,从 而 间接 实现 了 对 代码 修改 受 保护 数据 项 的 行为 度 
量 。 但 尚 不 能 解决 对 于 更 多 的 、 更 完全 的 安全 行为 度量 问题 。 


第 8 章 
可 信和 固件 的 开发 实现 


固件 产品 的 开发 ,是 同 平台 硬件 紧密 结合 的 ,尤其 是 同 主板 所 使 用 的 芯片 组 和 外 
围 设备 控制 器 类 型 密切 相关 。 本 书 基于 可 信 固 件 保 护 环 第 略 模型 ,以 新 一 代 EFI/ 
UEFI 固件 为 实现 基础 ,构造 一 种 可 信和 固件 产品 原型 UTBIOS( Trusted BIOS based 
on Unified EFI) 。 本 章 论述 UTBIOS 实现 的 关键 技术 。 


8.1 UTBIOS 开发 软 硬 件 平台 基础 


EFI(Extensible Firmware Interface) 是 操作 系统 与 平台 固件 层 的 新 一 代 模 型 与 
接口 规范 ,由 Intel 公司 在 1998 年 开始 开发 ,并 首先 用 于 Intel 的 64 位 服务 器 产品 中 。 
2003 年 Intel 公布 了 EFI 标准 和 部 分 框架 代码 外 ,联合 业界 推广 用 EFI 标准 取代 传 
统 BIOS。2005 年 ,业界 成 立 统 一 的 EFI 标准 组 织 (Unified EFI. UEFI) (www. uefi. org), 
致力 于 开发 ,管理 和 推动 UEF 固件 标准 和 产品 化 进程 。UEFI 最 早 的 标准 以 EFI 1. 10 
规范 为 基础 ,目前 最 新 标准 为 UEFI 2. 107, 

Intel EFI 平台 创 新 架构 (The Intel Platform Innovation Framework for EFI, 本 
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节 简 称 Framework)? J& EFI/UEF 规范 的 产品 级 框架 实现 ,可 以 应 用 于 IA CIntel 
Architecture) 架 构 的 任何 一 种 平台 来 构造 平台 固件 。Intel 将 Framework 的 源 代码 
公开 ,并 资助 CollabNet 成 立 网 络 社区 (www. tianocore. org) ,管理 和 促进 对 源 代 码 持 
续 的 开放 性 开发 。 

Framework 代码 只 是 规范 实现 的 公共 框架 代码 ,而 构造 计算 机 固件 产品 还 需要 
与 平台 相关 的 代码 ,这 些 与 平台 相关 的 代码 也 是 固件 产品 的 核心 ,由 硬件 芯片 组 厂商 
提供 代码 ,或 仅 提供 资料 而 由 固件 厂商 来 开发 平台 代码 ,两 者 都 需要 商业 授权 。 

由 原 信息 产业 部 支持 ,中 国电 子 科技 集团 信息 化 工程 总 体 研 究 中 心 同 Intel 合 
作 , 取 得 Intel 对 Intel D945gnt 主板 平台 代码 的 授权 。 本 书 的 UTBIOS 原型 产品 实 
现 正 是 以 该 平台 的 固件 框架 代码 和 平台 代码 为 基础 。 

UTBIOS 产品 原型 实现 的 硬件 平台 为 Intel D945gnt 和 Foxconn-945G7MA- 
8KS2 主板 。 采 用 Foxconn-945G7MA-8KS2 主板 是 因为 该 款 主板 直接 支持 TPM ath 
片 的 拔 插 , 且 与 国产 TPM 芯片 结合 较 好 。Foxconn-945G7MA-8KS2 主板 同 Intel 
D945gnt 主板 采用 了 相同 的 芯片 组 ,只 存在 少量 的 外 围 设备 控制 器 的 不 同 ,因此 移植 
平台 代码 的 工作 比较 容易 实现 。 

UTBIOS 的 开发 采用 国产 TPM 芯片 (SINOSUN SSX35B) 作 为 可 信 的 硬件 基 
础 ,为 UTBIOS 提供 存储 保护 功能 。 兆 日 的 该 款 芯片 符合 TPM 1.2 规范 。 


8.2 UTBIOS 结构 与 流程 设计 


UTBIOS 的 开发 ,需要 对 Intel Framework 及 其 平台 代码 结构 进行 调整 ,增加 相 
应 的 安全 机 制 ,使 之 符合 可 信和 固件 的 保护 环 模型 。 


8.2.1 CRTM 的 安全 构造 


CRTM 是 信任 链 建立 的 起 点 ,包含 可 信和 度量 过 程 最 早 执行 的 代码 ,是 被 无 条 件 
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信任 的 。CRTM 要 满足 4 个 约 东 条件 : 

(D CRTM 自身 受到 物理 保护 ,不 能 通过 纯 软 件 写 方式 更 新 和 升级 。 对 CRTM 
的 更 新 、 升 级 要 么 通过 物理 硬件 操作 进行 ,要 么 通过 能 够 证 明 是 物理 现场 (physical- 
presence) 操 作 的 软件 方式 进行 ; 

(2) CRTM 具备 对 后 续 执行 模块 进行 可 信和 度量 的 能 力 ; 

(3) 当 可 信和 固件 其 他 部 分 完整 性 遭 到 破坏 时 ,CRTM 具备 对 其 进行 可 信 恢 复 的 
能 力 ; 

(4) 为 了 方便 计算 机 固件 的 升级 更 新 需求 ,CRTM 的 代码 应 该 是 完成 (2) 和 (3) 
中 功能 及 其 所 需 初始 化 环境 的 代码 最 小 集 。 

在 Intel Framework 的 代码 中 ,定义 了 一 个 空 的 Security 阶段 (SEC Phase) ,以 期 
使 得 Framework 的 设计 与 TCG 的 CRTM 概念 相 吻 合 。 但 是 Intel 没有 给 出 SEC lr 
段 的 实现 ,也 没有 对 该 阶段 内 容 的 讨论 。 

根据 上 述 CRTM 的 4 个 约束 条 件 , 本 节 设 计 将 Intel Framework 的 SEC 和 PEI 
阶段 合并 ,并 将 DXE 阶段 中 的 USB 驱动 移入 到 PEI 阶段 ,形成 CRTM Code. 
CRTM 主要 部 件 包括 : 

* CPU\ 芯 片 组 主板、 内 存 \ 堆 栈 的 初始 化 代码 ; 

* TPM Driver: 

。 消息 摘要 代码 ; 

。 可 信 恢 复 代码 ; 

* PEI Core Code; 

* CTS 和 PDS 集合 列表 。 

在 固件 flash 芯片 中 ,CRTM 占据 最 高 端的 64KB 空间 (0xFFFFo000 一 0xFFFFFFFF)， 
该 部 分 空间 受到 软 硬 件 双 重 写 保护 。 


8.2.2 可 信和 度量 结构 与 流程 


在 Intel Framework 中 定义 了 框架 代码 执行 的 七 个 阶段 2 ， 
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1. SEC: Security 
安全 阶段 ,在 Intel 的 产品 中 为 空 。 
2. PEI, Pre-EFI Initialization Environment 


负责 完成 CPU Chipset, 主板、 内存、 堆栈 的 基础 初始 化 工作 ,在 这 个 阶段 建立 起 
言 程序 的 执行 环境 。 


3. DXE™™ : Driver Execution Environment 


是 平台 设备 .总线 .驱动 ,协议 执行 驱动 的 主要 阶段 ,平台 的 完整 初始 化 和 驱动 在 


这 个 阶段 完成 。 


4. BDS: Boot Device Selection 

设 定 和 选择 引导 设备 的 阶段 。 

5. TSL: Transient System Load 

OS Loader 装 入 .执行 , 以 及 OS 引导 阶段 。 

6. RT: Runtime 

操作 系统 运行 阶段 ,这 个 阶段 OS 会 调用 固件 的 一 些 服务 程序 。 
7. AL: After Life 


由 操作 系统 返回 固件 运行 控制 阶段 ,如 操作 系统 骨 溃 .异常 ,需要 回 到 固件 运行 


阶段 进行 诊断 。 


按照 可 信 固 件 安 全 策略 和 模型 要 求 , 对 Intel Framework 经 过 重新 设计 和 调整 后 


形成 的 UTBIOS 结构 与 流程 如 图 8. 1 所 示 。 


在 UTBIOS 的 结构 流程 设计 中 ,按照 8. 2. 1 节 的 安全 要 求 对 CRTM 进行 了 重 


C F. 
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Code 


图 8.1 UTBIOS 结构 流程 


构 。 系 统 上 电 复 位 后 ,首先 执行 CRTM 中 的 Initialize Code. 做 CPU, chipset, 
Memory Stack 初始 化 工作 ,建立 C 代码 执行 环境 ; 进入 PEI Core, WE CRTM 其 他 
代码 ,初始 化 TPM, 安 装 TPM Protocol, Recovery Protocol, Hash Protocol. 

随后 的 执行 阶段 ,在 进入 下 一 个 阶段 前 ,或 者 对 每 个 阶段 中 的 代码 单元 加 载 准 备 
执行 前 ,都 需要 进行 可 信 度 量 。 可 信和 度量 的 方法 采用 7.5 节 中 描述 的 方法 和 过 程 。 
除 对 固件 flash 芯片 中 的 代码 进行 调度 外 ,UTBIOS 允许 在 DXE, BDS, TSL 阶段 根 
据 平台 和 用 户 实际 需求 ,从 外 部 存储 设备 或 芯片 中 调度 加 载 EFI 驱动 .EFI 应 用 程序 
或 扩展 卡 中 的 OPROM。 对 这 些 代码 的 调度 执行 同样 也 需要 进行 可 信和 度量 。 

可 信和 度量 由 CRTM 提供 统一 的 度量 实现 代码 ,而 请 求 度量 者 只 需要 根据 度量 返 
回 的 结果 决定 被 度量 代码 单元 的 执行 与 否 。 如 果 遇 到 CTC 度量 失败 , 则 CRTM 会 
向 用 户 请 求 可 信 恢 复 操作 。 进 入 可 信 恢 复 模式 后 ,CRTM 阶段 安装 的 Recovery 
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Protocol 会 被 执行 ,负责 从 USB 设备 中 读 入 除 CRTM 之 外 的 可 信和 固件 的 其 他 部 分 的 
映像 ,并 写 回 到 flash 芯片 中 。 可 信和 恢复 的 过 程 同 样 需要 对 被 加 载 的 固件 映像 进行 可 
信和 度量 ,因此 要 求 操作 者 提供 完整 合法 的 恢复 映像 。 

每 一 次 可 信和 度量 ,度量 请 求 者 都 需要 记载 日 志 , 并 且 通 过 TPM_Extend 操作 将 日 
志 的 Hash 值 累计 存储 到 TPM 中 指定 的 PCRs 中 。 


8.2.8 可 信和 度量 加 密 计 算 的 实现 


可 信 度 量 的 Hash 操作 由 CRTM 提供 统一 的 实现 代码 ,采用 SHA-1 算法 生成 
160bit 的 digest。 从 安全 要 求 来 考虑 , Hash 操作 由 CRTM 提供 实现 或 由 TPM 提供 
实现 并 没有 任何 安全 差别 ,从 实现 性 能 考虑 ,对 于 1Mbits 的 信息 ,UTBIOS 提供 的 
Hash 实现 平均 用 时 小 于 13ms, 而 SINOSUN SSX35B TPM 芯片 提供 的 Hash 实现 
平均 用 时 小 于 258m 。 

可 信和 度量 签名 的 解答 操作 由 TPM 完成 ,采用 密 钥 长 度 为 2048 位 的 RSA 非 对 称 
加 密 算 法 。 因 为 解 签 操作 所 需要 的 公 钥 存储 在 TPM 中 ,而 对 于 激活 的 密 钥 ,TCG H 
范 规定 必须 要 求 在 TPM 中 密封 计算 ,以 防 密 钥 泄 漏 。 解 签 操 作 得 到 的 Hash 值 返回 
给 CRTM, 由 CRTM 将 其 与 新 计算 的 Hash 值 进行 比较 。 


8.2.4 特殊 处 理 


现 有 的 Legacy Option ROM 和 OS Loader Code 在 系统 最 初 执行 的 时 候 未 被 可 
信封 装 ,需要 在 系统 首次 运行 时 对 其 作 可 信 初 始 化 处 理 , 处 理 方法 为 : 系统 初次 可 信 
初始 化 时 ,由 UTBIOS 自动 生成 一 对 用 于 外 部 实体 验证 的 密 钥 ; UTBIOS 计算 外 部 
实体 的 Hash 值 并 使 用 私 钥 对 实体 的 Hash 值 进行 签名 ,签名 后 抛弃 私 钥 ; 利用 存储 
固件 的 flash 芯片 中 NVRAM 数据 区 保存 外 部 实体 的 数字 签名 ,并 将 对 应 公 钥 导入 
到 TPM 中 保护 存储 。 第 一 次 可 信和 初始 化 完成 后 ,以 后 每 次 启动 就 可 实现 对 外 部 实体 
的 可 信 测 量 。 


第 8 章 ， 可 信 固 件 的 开发 实现 163 


存在 多 种 类 型 的 OS Loader Code 产品 ,目前 UTBIOS 只 针对 MBR 进行 可 信 
度量 。 


8.3 CTC 5 PDI 划分 


CTC 与 PDI 的 合理 划分 对 可 信和 固件 实现 的 安全 性 至 关 重 要 ,划分 不 合理 则 会 破 
坏 可 信和 固件 的 安全 性 ,或 者 破坏 可 信 固 件 的 实用 性 。 

UTBIOS 在 实现 中 ,PDI 的 划分 只 针对 固件 的 动态 配置 数据 ,而 将 外 部 的 其 他 更 
态 数 据 项 ,如 封装 在 固件 flash 芯片 中 的 静态 数据 块 , 则 等 同 于 代码 处 理 , 通 过 可 信和 度 
量 测 试 这 种 静态 数据 块 的 完整 性 。 


8.3.1 CTC 的 封装 形式 


UTBIOS 中 绝 大 多 数 CTC 存储 在 固件 flash 芯片 中 。 固 件 flash 芯片 中 对 应 的 
内 容 称 为 固件 映像 (Firmware Image). Intel Framework 定义 了 一 种 固件 文件 系统 
描述 固件 映像 的 存储 格式 343 。 

一 个 固件 映像 通常 由 一 个 或 多 个 固件 卷 (Firmware Volume,FV) 排 列 构成 ,固件 
卷 由 一 个 或 多 个 固件 文件 系统 (Firmware File System,FFS) 封 装 而 成 ,固件 文件 系统 
由 一 个 或 多 个 节 (Section) 封 装 而 成 。 节 可 以 是 包装 节 (Encapsulation Section) ,也 可 
以 是 叶子 节 (Leaf Section) ,包装 节 中 还 可 包含 节 。 典 型 的 固件 卷 的 结构 如 图 8. 2 
所 示 。 

叶子 节 中 包含 的 数据 存在 多 种 类 型 ,可 能 是 固件 的 数据 块 ,如 EFI_SECTION_ 
GUID DEFINED, EFI_SECTION_VERSION, EFI_SECTION_DXE_DEPEX 等 类 
型 ,也 可 能 是 可 执行 代码 ,如 EFI_SECTION_PE32、EFI_SECTION_TE 类 型 的 结构 
性 代码 和 EFI SECTION_COMPATIBILITY16 类 型 的 非 结 构 性 代码 。 节 中 的 数据 
或 代码 允许 压缩 或 非 压缩 存储 。UTBIOS 通过 对 固件 映像 的 遍历 操作 访问 和 加 载 固 
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Section Section 首 部 | Section 数 据 区 | 
m p E 
FFS FFS 首 部 Section [ sis Section pe | 
FV e FFS | = e | FFS 
图 8.2 固件 卷 结构 
件 卷 中 的 数据 和 代码 节 。 


固件 映像 的 模块 化 结构 为 UTBIOS 的 可 信封 装 提供 了 很 大 的 灵活 性 。 对 于 固 
件 映像 中 的 CTC( 无 论 是 静态 数据 块 还 是 代码 块 ) ,允许 以 多 种 单位 形式 进行 封装 。 
最 小 的 封装 单位 确定 为 叶子 节 。 尽 管 可 以 更 小 ,如 以 叶子 节 中 的 结构 性 代码 为 封装 单 
位 ,但 是 考虑 到 叶子 节 中 甚至 有 非 结 构 性 的 数据 和 代码 ,更 深层 次 的 细 分 并 不 适合 程序 
的 实现 。 最 大 的 封装 单位 则 可 以 是 一 个 固件 卷 , 即 对 整个 固件 卷 进行 完整 信 验 证 。 

固件 映像 之 外 加 载 的 EFI 应 用 程序 或 驱动 通常 是 以 . efi 为 扩展 名 的 PE/COFF 
格式 的 可 执行 文件 。 这 时 候 可 以 直接 以 PE/COFF 可 执行 文件 作为 一 个 可 信封 装 的 
单位 。 

扩展 卡 或 控制 器 中 的 OPROM 也 需要 作为 一 个 独立 的 可 信封 装 单元 ,为 适应 可 
信和 度量 的 需要 ,应 该 为 这 种 传统 OPROM (Legacy OPROM) 定 义 新 的 OPROM 的 格 
式 。UTBIOS 在 处 理 传统 OPROM 时 ,目前 按照 8. 2.4 节 的 方法 做 特殊 处 理 。 


8.3.2 CTC 的 划分 


可 信和 固件 保护 环 模型 通过 将 可 执行 代码 单元 划分 为 CTC 和 OTC 来 限制 代码 对 
受 保护 数据 的 写 操作 ,实现 了 对 代码 行为 的 局 部 限制 和 监控 。CRTM 包含 的 代码 不 
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受 此 种 划分 限制 ,或 者 说 ,CRTM 包含 的 代码 全 部 都 属于 CTC 类 型 。 在 UTBIOS 
中 ,CTC 和 OTC 的 划分 主要 针对 DXE 及 其 之 后 阶段 的 代码 。flash 映像 中 包含 的 代 
码 大 部 分 都 是 EFI 固件 实现 所 必需 的 ,只 有 少数 属于 应 用 级 的 代码 ,而 更 多 的 应 用 级 
的 代码 往往 在 计算 机 集成 商 和 用 户 使 用 阶段 被 嵌入 或 加 载 。 这 就 决定 flash 芯片 映 
像 中 包含 的 代码 大 部 分 为 CTC 代码 。 

K 8.1 分 类 列 出 UTBIOS 中 的 CTC. mi UTBIOS 中 目前 包含 的 OTC 包括: 文件 系 


统 支持 (FAT16/FAT32)、EFI Shell, TCP/IP HPY „Socket Lib, EFI Shell Commands 等 。 


# 8.1 UTBIOS 包含 的 CTC 


代码 作用 域 包含 的 模块 /协议 

框架 代码 Dxelpl, Bds, DxePlatform 

flash 芯片 操作 支持 FwBlockService 

系统 管理 模式 支持 SmmAccess, SmmControl, SmmBase, SmmRelocate 

计数 器 与 定时 器 MonotonicCounter, SmartTimer, WatchDogTimer 

芯片 组 和 控制 器 Dxelchlnit, Ich? SmmDispatcher, GmchMbi, IdeController, SataController, 
Disklo 

内 存 管理 LightGenericMemoryTest, MemorySubClass . MemoryInit 

总 线 支 持 LightPciBus,IdeBus,IsaBus,PciHostBridge,PciPlatform 

USB 标准 支持 Ehci, Uhci, UsbBus , Usbkb, UsbMassStorge 

控制 台 GraphicsConsole,Terminal,VgaClass,BiosVideo,BiosKeyboard 

传统 BIOS 兼容 支持 Legacy8259, LakeportLegacyRegion, IntellchLegacyInterrupt, LegacyBios, 
Compatibility16 , LegacyFloppy 

SMBIOS 标准 支持 Smbios,SmbiosMisc 

ACPI 标准 支持 AcpiS3Save, AcpiSupport, AcpiPlatform 

BIOS 设置 管理 程序 SetupBrower 

处 理 器 微 代码 补丁 MicroCode 


8.3.3 PDI 的 划分 


根据 可 信和 固件 保护 环 模型 对 受 保护 数据 项 PDI 和 不 受 保护 数据 项 NDI 的 划分 
原则 ,UTBIOS 对 系统 运行 时 的 动态 数据 进行 分 类 划分 ,对 PDI 进行 访问 存储 限制 和 
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保护 。 


动态 数据 总 体 上 可 分 为 两 类 : 一 类 是 固件 根据 对 系统 硬件 检测 的 结果 报告 的 信 
息 , 这 一 类 通常 划分 为 NDI; 另 一 类 是 允许 程序 或 用 户 根 据 需 要 对 系统 软 硬 件 进 行 
配置 的 数据 项 ,这 类 数据 项 根据 其 重要 性 可 分 别 划分 为 PDI 或 NDI. 

K 8.2 和 表 8.3 分 别 列 出 了 UTBIOS 中 主要 的 NDI 和 PDI, UTBIOS 实现 中 的 
NDI 和 了 PDI 包 含 但 不 限于 表 中 所 列 的 内 容 , 表 中 所 列 内 容 为 后 续 实 现 提供 参考 。 


表 8.2 UTBIOS 中 的 NDI 


数据 项 中 文 名 称 数据 项 英文 名 称 备 注 

BIOS 版 本 BIOS Version CRTM 自动 检测 

BIOS 序列 号 BIOS ID CRTM 自动 检测 

主机 厂商 信息 System Message CRTM 自动 检测 

处 理 器 类 型 Processor Type CRTM 自动 检测 

处 理 器 主 频 Processor Clock Speed CRTM 自动 检测 

处 理 器 总 线 速 度 Processor Bus Speed CRTM 自动 检测 

处 理 器 二 级 缓存 总 量 Processor L2 Cache CRTM 自动 检测 

处 理 器 序列 号 Processor ID CRTM 自动 检测 

处 理 器 是 否 支持 多 核 Multiple Core Capable CRTM 自动 检测 

处 理 器 是 否 支持 超 线 程 Hyper-threading Capable CRTM 自动 检测 

处 理 器 是 否 支 持 64 位 计算 64bit Technology CRTM 自动 检测 ,PC 机 通常 
为 EM64T 

内 存 总 量 Installed Memory CRTM 自动 检测 

内 存 速度 Memory Speed CRTM 自动 检测 

内 存 通 道 模式 Memory Channel Mode CRTM 自动 检测 

x 号 PCI 插 槽 使 用 状态 PCI Slot x 显示 该 插 槽 是 否 占用 

x 号 并 口 配置 LPT Port x 传统 接口 ,很 少 用 ,不 会 影响 
系统 启动 

x 号 串口 配置 Serial Port x 传统 接口 ,很 少 用 ,不 会 影响 
系统 启动 

省 电 模式 Low Power Mode Off/On 

挂 起 模式 Suspend Mode S3/S1 

快速 启动 Fast Boot 只 影响 系统 启动 速度 

数字 键 锁定 Numlock Key 

日 期 /时 间 Date/Time 

语言 选择 Language Select UTBIOS 支持 中 文 /English 


第 8 章 ， 可 信 固 件 的 开发 实现 107 


表 8.3 UTBIOS 中 的 PDI 


数据 项 中 文 名 称 数据 项 英文 名 称 备 注 
引导 顺序 Boot Sequence Usb/cdrom/SATA/PATA/NIC 设置 不 当 系统 不 能 
引导 
软盘 驱动 器 设置 Diskette Drive floppy/usb/embedded 设置 不 当 磁 盘 不 能 使 用 
SATA-x 驱动 器 设置 。 SATA-x Off/on 设置 不 当 磁盘 不 能 使 用 
PATA-x 驱动 器 设置 。 PATA-x Off/on 设置 不 当 磁盘 不 能 使 用 
IDE 模式 设置 IDE Mode Compatible/enhanced 设置 不 当 磁盘 不 能 读 写 
SATA 模式 设置 SATA Mode IDE/RAID 设置 不 当 磁 盘 不 能 读 写 
板 载 网 卡 设置 Onboard NIC Off/on/PXE 设置 不 当 系统 不 能 引导 
板 载 声卡 设置 Onboard Audio Off/on 设置 不 当 声 卡 不 能 使 用 
USB 控制 器 设置 USB Controller Off/on/no boot USB 已 经 成 为 系统 启动 过 程 中 的 
重要 设备 
USB 端口 设置 Front USB Ports Off/on 
主 视频 设备 设置 Primary Video Auto/Onboard 设置 不 当 系 统 不 能 引导 ,无 显示 
超 线程 设置 HyperThreading Off/on 
超频 设置 Speed-Step Off/on 
自动 开机 设置 Auto Power on 随意 更 改 导 致 安全 隐患 
自动 开机 时 间 设 置 Auto Power Time 随意 更 改 导 致 安全 隐患 
远程 开机 设置 Remote Wake up 随意 更 改 导 致 安全 隐患 
装载 缺 省 参数 Load Defaults 可 能 导致 正常 参数 丢失 
管理 员 密 码 Admin Password 安全 属性 
用 户 密码 User Password 安全 属性 
TPM 使 能 TPM Disable 安全 属性 
TPM 激活 TPM Deactivated 安全 属性 
TPM 属 主 TPM Owner 安全 属性 


8.4 UTBIOS 安全 设置 与 日 志 


8.4.1 


BIOS Setup 程序 安全 与 TPM 设置 


UTBIOS 在 用 户 初 次 使 用 时 ,并 不 立即 启动 可 信和 度量 过 程 。 用 户 必须 通过 BIOS 


Setup 程序 界面 对 TPM 进行 设置 .并 执行 适当 


的 初始 化 工作 ,以 后 的 启动 过 程 才 会 
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启用 可 信和 度量 操作 。 

根据 保护 环 模型 的 强制 性 实施 规则 MER4 的 安全 要 求 , 用 户 进 入 BIOS Setup 需 
要 进行 身份 验证 。UTBIOS 目前 采用 密码 验证 ,由 于 UTBIOS 对 C 语言 程序 运行 的 
完全 支持 ,以 及 对 USB 协议 和 高 级 图 形 功能 等 的 完全 支持 ,使 用 Ukey 或 指纹 验证 的 
技术 手段 较 之 传统 BIOS 实现 难度 也 大 大 降低 ,基于 这 种 更 安全 验证 技术 的 开发 工作 
也 即将 展开 。 

在 BIOS Setup 程序 中 ,允许 安全 管理 员 SA 对 TPM 选项 进行 设置 。BIOS Setup 
程序 中 对 TPM 的 设置 项 包括 : 

使 能 状态 : Enable/Disable 

激活 状态 : Activated/Deactivated 

属 主 状 态 : Owned/Not Owned/Clear 

使 能 状态 和 激活 状态 主要 的 区 别 在 于 : 在 Disable 状态 下 ,TPM 不 可 以 做 
Owner 的 设置 操作 ,而 在 Deactivated 状态 下 则 没有 此 项 限制 。 必 须 在 SA 完成 TPM 
的 属 主 操作 后 ,UTBIOS 才 会 启用 可 信和 度量 机 制 。 

TPM 通过 LPC 总 线 连接 到 南 桥 芯 片上 ,通过 LPC 总 线 访问 TPM 标识 寄存 器 
映射 空间 不 需要 做 任何 初始 化 工作 ,因此 UTBIOS 在 CRTM 的 较 早 阶段 就 可 以 通过 
访问 TPM 厂商 标识 寄存 器 读 取 厂 商标 识 529 ,判断 系统 启动 过 程 中 是 否 存在 可 用 的 
TPM 物理 硬件 ,以 决定 是 否 激活 BIOS Setup 程序 中 的 TPM 安全 选项 ,以 及 是 否 在 
启动 过 程 中 启动 可 信和 度量 。 


8.4.2 可 信和 度量 日 志 


UTBIOS 在 每 一 次 可 信和 度量 后 ,会 产生 可 信和 度量 日 志 。 可 信和 度量 日 志 记 录 的 结 
构 包 括 下 面 的 数据 项 09 。 

。 PCRIndex: 事件 Digest 扩展 存储 到 TPM 此 编号 的 PCR 中 。 

。 EventType: 事件 类 型 .TCG 对 不 同 阶段 的 事件 类 型 在 文档 5 中 定义 。 

* Digest: Event 的 Hash ff ,在 完整 性 报告 中 验证 事件 数据 的 完整 性 。 
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。 EventDataSize: Event 数据 的 长 度 。 

。 Event: 事件 描述 数据 。 

UTBIOS 不 直接 在 外 部 存储 设备 上 存储 可 信和 度量 日 志 ,而 是 申请 一 片 ACPI 保 
留 内 存 , 将 日 志 记录 保存 在 保留 内 存 中 ,通过 ACPI Table 的 指针 传递 给 操作 系统 使 
用 ,这 同 TCG 的 相关 规范 也 是 相 吻 合 的 9 。 日 志 记录 必须 按照 可 信和 度量 事件 发 生 
时 间 顺 序 排列 。 无 论 是 日 志 记 录 的 内 容 被 破坏 ,还 是 记录 的 顺序 被 破坏 ,都 将 造成 
PCRs 的 完整 性 报告 结果 的 失败 。 


8.5 可 信 度 量 的 性 能 分 析 


UTBIOS 同 Legacy BIOS 相 比 较 ,在 性 能 上 主要 受 可 信和 度量 的 影响 。 可 信 度 量 
主要 作 hash 生成 和 签名 校 验 操 作 。 以 SHA-1 hash 算法 和 密 钥 为 2048b 的 RSA 
Verification 操作 来 估量 可 信和 度量 对 固件 启动 时 间 的 影响 。RSA 加 密 操作 ( 即 
Signature) fa 3 ti FEX fic If [8] 797 ,但 加 密 过 程 只 在 生产 过 程 中 使 用 ,UTBIOS 正常 运 
行 过 程 中 可 信和 度量 则 只 有 解密 操作 。 

K 8.4 列 出 了 在 1GHz Pentium PC 上 和 在 SINOSUN SSX3B TPM 中 SHA-1 
操作 和 RSA 解 签 操作 所 花费 的 时 间 2220 。 

表 8.4 PC 与 TPM 加 密 算法 时 间 比较 


算 法 密 钥 长 度 b 操 d PC 耗费 时 间 (s) TPM 耗费 时 间 (s) 
SHA-1 Hash(1Mbits) <0. 013 <0. 258 
RSA 1024 Verification <0. 094 «0.015 
RSA 2048 Verification <0. 098 «0. 040 


UTBIOS 的 可 信和 度量 时 间 可 以 按 下 式 来 计算 : 
T = T(LD + T(L2) 


TAD = Dtm) = J aH 二 tCVG))) 
i-i 


i=1 
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TAD = t(H(L2)) + t(V(L2)) 
T(LD 4 UTBIOS 对 BIOS 内 部 实体 和 外 部 加 载 的 EFI Driver, EFI Application 
以 及 Option ROM 进行 可 信和 度量 消耗 的 总 时 间 。T(L2) 是 UTBIOS 对 OS Loader 
Code 进行 可 信和 度量 消耗 的 时 间 。t(m;) 是 对 第 i 个 实体 进行 可 信和 度量 的 时 间 。t(H 
()) 代 表 生 成 SHA-1 digest 的 时 间 ,t(CV()) 代 表 签 名 校 验 的 时 间 。 
UTBIOS 可 信和 度量 的 SHA-1 操作 由 PC 完成 ,RSA Verification(2048b) 操 作 由 
TPM 完成 。 则 对 一 个 1Mb 的 实体 i 可 近似 取得 : 
(HG) —0. 013s 
(VG) =0. 040s 
即 对 一 个 1Mb 的 实体 的 可 信 度 量 约 耗费 0.053s。UTBIOS 中 被 测量 的 实体 个 数 通 
常 小 于 100 个 ,实体 size 通常 小 于 0. 5Mb, 因 此 可 得 T(L1) 约 为 2.7s。OS Loader 
Code size 通常 小 于 10Mb, 则 可 近似 取得 : 
t(H(L2))=0. 13s 
t(V(L2))=0. 40s 
W T(L2) 约 为 0.57s,T 约 为 3.27s。 实 际 上 ,由 于 UTBIOS 中 需要 测量 的 实体 个 数 
和 size 通常 远 小 于 这 里 用 于 计算 的 最 大 值 , 因 此 实际 的 计算 时 间 也 要 远 小 于 这 个 
时 间 。 
本 书 在 采用 Pentium 3. 0GHz 的 实验 中 实际 测 得 不 做 可 信和 度量 的 BIOS 启动 时 
间 约 为 11s, 而 允许 可 信和 测量 后 固件 启动 时 间 约 为 16s。 实 际 测 得 的 可 信和 度量 消耗 时 
间 大 于 计算 估 值 ,这 其 中 包含 了 设备 访问 时 间 和 数据 交换 时 间 。 


8.6 本 章 小 结 


在 本 书 的 工作 之 前 ,国际 国内 尚未 见 有 从 理论 方法 到 技术 实现 的 整体 安全 设计 
的 安全 固件 研究 和 产品 报道 。 本 章 以 前 两 章 对 安全 BIOS 的 安全 策略 模型 和 可 信和 度 
量 方法 研究 结果 为 指导 ,以 TCG 相关 规范 为 依据 ,研究 一 种 可 信和 固件 一 一 UTBIOS 


C 万 
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产品 原型 开发 的 关键 技术 和 实现 ,重点 对 最 小 CRTM 构造 的 约束 条 件 和 组 成 .核心 
可 信 代 码 的 划分 、 受 保护 数据 项 的 划分 及 实现 进行 了 阐述 。 

UTBIOS 产品 原型 ,是 在 中 国电 子 科技 集团 公司 信息 化 工程 总 体 研究 中 心 的 “ 太 
行 安全 BIOS” 项 目 产品 基础 上 实施 开发 的 。 该 项 目 受 到 信息 产业 部 电子 产业 发 展 基 
金 “ 新 一 代 安 全 BIOS 的 研制 和 产业 化 ”“ 高 安全 与 可 管理 BIOS” 项 目的 支持 ,其 平台 
硬件 相关 的 BIOS 资料 和 代码 得 到 Intel 公司 的 授权 和 技术 支持 。 正 是 基于 这 样 的 新 
一 代 EFI/UEFI BIOS 项 目 和 产品 支持 , 才 使 本 书 可 信和 固件 研究 的 产品 原型 得 以 顺利 
实现 。 


一 直 以 来 ,操作 系统 ,应 用 级 安全 以 及 安全 芯片 一 直 是 计算 机 系统 和 网 络 信息 安 
全 领域 研究 的 重点 ,而 计算 机 在 操作 系统 运行 之 前 的 启动 和 引导 阶段 , 即 固件 BIOS 
运行 阶段 的 安全 性 则 长 期 被 忽视 。 本 书 从 多 起 与 固件 BIOS 相关 的 安全 事件 的 分 析 
入 手 ,指出 固件 BIOS 在 计算 机 系统 安全 中 的 重要 性 ,以 及 对 操作 系统 安全 的 基础 保 
障 作用 。 

本 书 介 绍 并 分 析 了 固件 BIOS 产品 研发 现状 和 研发 技术 ,开展 了 对 固件 BIOS 安 
全 问题 的 系统 性 研究 工作 。 本 书 的 研究 涵盖 固件 BIOS 系统 安全 问题 的 两 个 方面 

(1) 分 析 现 存 的 大 规模 应 用 的 传统 BIOS 产品 存在 的 安全 漏洞 ,以 及 由 此 引起 的 
针对 BIOS 系统 自身 ,以 及 操作 系统 和 应 用 的 安全 威胁 和 实现 技术 ,研究 对 计算 机 
BIOS 系统 进行 安全 检测 的 方法 ,通过 安全 检测 和 维护 增强 现 有 BIOS 系统 的 产品 安 
全 性 。 

(2) 结合 可 信 计 算 需求 ,定位 固件 BIOS 在 可 信 计 算 终端 中 的 作用 和 地 位 ,研究 
安全 固件 系统 开发 的 策略 模型 .实现 方法 和 关键 技术 ,开发 实现 可 信和 固件 的 产品 
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9.1 本 书 研究 的 主要 成 果 


本 书 围绕 固件 BIOS 系统 安全 问题 的 两 个 方面 开展 深入 研究 ,主要 取得 了 以 下 5 
个 方面 的 研究 成 果 : 

(1) 以 市 场 现 有 传统 BIOS 固件 产品 为 对 象 ,首次 比较 系统 地 分 析 并 验证 了 计算 
机 BIOS 固件 系统 存在 的 安全 漏洞 ,对 漏洞 特征 和 漏洞 表示 进行 研究 ,建立 了 第 一 个 
计算 机 BIOS 漏洞 库 。 

(2) 分 析 了 多 起 典型 BIOS 固件 安全 威胁 事件 ,分 析 概 括 了 操作 系统 与 BIOS 固 
件 系统 的 依赖 性 和 安全 互动 性 ,提出 并 实现 一 种 新 型 BIOS 固件 木马 技术 。 该 技术 防 
可 用 于 安全 代理 , 攻 可 用 于 嵌入 式 木马 ,病毒 或 rootkit。 

(3) 研究 了 对 计算 机 BIOS 固件 进行 安全 检测 的 原理 和 技术 方法 ,提出 基于 漏洞 
扫描 和 恶意 代码 检测 的 计算 机 BIOS 固件 安全 检测 模型 ,开发 实现 了 一 种 计算 机 
BIOS 固件 安全 检测 系统 。 该 系统 能 够 对 目前 市 场 上 主流 BIOS 固件 产品 进行 安全 检 
测 ,目前 已 经 成 功 地 进行 了 产品 转化 。 

(4) 通过 考 较 不 同 历史 阶段 对 可 信和 与 安全 两 个 概念 的 使 用 情况 ,阐明 可 信和 与 安 
全 两 者 之 间 的 区 别 和 联系 。 本 书 认为 ,可 信 的 本 质 是 行为 的 安全 ,TCG 完整 性 度量 
并 不 总 是 能 够 保障 系统 的 安全 性 ,只 有 行为 的 可 信和 度量 才 等 价 于 安全 。 分 析 了 固件 
BIOS 的 安全 需求 ,给 出 了 可 信 固 件 的 定义 ,提出 适合 计算 机 固件 系统 的 可 信 固 件 保 
护 环 安全 策略 和 模型 。 

(5) 通过 对 TCG 完整 性 度量 和 报告 .信任 链 构 建 等 规范 要 求 的 分 析 , 提 出 基 
于 可 信 注 册 、 可 信封 装 、 可 信和 验证 三 个 步骤 的 可 信和 固件 可 信和 度量 方法 ; 以 新 一 代 
EFI/UEFI Jt i fll Intel Framework 代码 为 基础 ,开发 实现 了 一 个 可 信 固 件 的 产品 
Jig 8 —  UTBIOS, %# UTBIOS 的 开发 实现 中 ,对 可 信 固 件 保 护 环 模型 实现 的 关 
键 问题 进行 研究 ,给 出 了 最 小 CRTM 构造 的 约束 条 件 和 组 成 ,给 出 了 核心 可 信 代 
码 CTC 和 受 保 护 数 据 项 PDI 的 一 个 划分 实现 ,设计 了 UTBIOS 的 可 信和 度量 
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结构 。 

固件 系统 安全 的 重要 性 在 过 去 很 长 一 段 时 间 内 被 忽视 。 本 书 首次 建立 了 计算 机 
BIOS 固件 漏洞 库 ,开发 设计 并 产品 化 一 种 计算 机 BIOS 固件 安全 检测 系统 ,提出 可 信 
固件 保护 环 安全 策略 模型 并 实现 了 一 种 可 信 固 件 产品 原型 。 本 书 这 些 创 新 性 研究 成 
果 对 于 基于 计算 机 底层 固件 BIOS 系统 的 终端 安全 防护 和 可 信 终 端 构建 的 研究 ,具有 
积极 的 推动 作用 和 借鉴 意义 。 


9.2 进一步 的 研究 方向 


本 书 首次 开展 对 计算 机 BIOS 固件 安全 问题 系统 性 的 研究 工作 ,研究 内 容 涵盖 了 
传统 BIOS 固件 产品 的 安全 保障 和 新 一 代 安 全 固件 产品 开发 两 个 方面 ,取得 了 预期 的 
成 果 。 从 技术 开发 和 理论 研究 来 讲 , 下 一 步 需 要 继续 完善 和 深入 探索 的 内 容 和 方向 
包括 : 

CD 计算 机 BIOS 固件 安全 检测 产品 的 进一步 完善 : 包括 BIOS 固件 漏洞 库 的 持 
续 跟踪 研究 和 补充 ; BIOS 固件 模块 样本 的 进一步 充实 ; 扩大 可 检测 的 BIOS 固件 产 
品类 型 和 计算 机 产品 类 型 的 覆盖 面 。 

(2) UTBIOS 的 开发 ,试图 解决 可 信 计 算 机 固件 BIOS 运行 阶段 安全 和 信任 链 建 
立 问 题 。 完 整 的 信任 链 建 立 ,需要 计算 机 其 他 方面 的 可 信和 实现 的 同时 跟 进 ,包括 可 信 
硬件 部 件 、 可 信 OS Loader、 可 信和 操作 系统 以 及 可 信和 应 用 软件 的 全 面 实 施 和 紧密 结合 ， 
这 给 可 信 计 算 的 实施 提出 了 更 多 更 高 的 要 求 ,也 给 后 续 的 可 信 计 算 的 研究 指出 了 更 
广阔 的 研究 方向 。 

G) 正如 本 书 所 指出 的 ,可 信 的 本 质 是 行为 的 可 信 而 不 是 关系 的 可 信 , 可 信 
的 度量 也 应 该 是 行为 的 度量 而 不 仅仅 是 完整 性 和 真实 性 度量 。 为 了 能 够 在 实体 
执行 前 或 执行 中 度量 、 监 控 和 限制 实体 的 行为 ,本 书 认为 基于 语言 的 行为 逻辑 验 
证 和 检测 的 理论 方法 有 着 很 好 的 前 景 ,其 他 的 行为 度量 的 理论 方法 也 是 值得 探 
索 的 领域 。 
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(4) 现 有 的 计算 机 系统 的 安全 体系 ,将 安全 保障 者 和 被 保障 者 混淆 于 同一 执行 
环境 中 ,安全 保障 者 自身 的 安全 得 不 到 有 效 保障 ,而 被 保障 者 对 系统 性 能 的 要 求 也 往 
往 被 侵犯 ,从 而 导致 安全 处 于 一 种 死 循环 的 困境 。 本 书 认为 可 以 利用 嵌入 式 技术 为 
计算 机 系统 在 操作 系统 之 外 构造 一 种 带 外 系统 ,利用 带 外 系统 有 效 解决 这 一 问题 ,下 
一 步 可 展开 对 这 一 问题 的 研究 。 
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